發布時間:2022-03-13 02:59:48
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的1篇信息安全論文,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
1企業開展檔案信息安全管理的必要性
企業檔案信息是企業在生產、經營過程中形成的具有重要保存價值的記錄,是企業的寶貴財富和歷史記憶。檔案信息中有的內容涉及到企業的優秀機密,包括設備、關鍵技術資料等,這些檔案信息對于企業的生存和發展至關重要,一旦出現信息泄露,將會對企業的生存和發展造成巨大的威脅。加強企業檔案信息的安全管理就是進行有組織、有計劃的實施一系列安全管理措施,能提高企業的檔案管理水平和檔案信息安全性,避免檔案信息泄露給企業帶來的巨大損失,為企業的長遠發展打下堅實的基礎。因此,企業開展檔案信息安全管理極其必要。
2威脅檔案信息安全的因素
現階段,大量的檔案信息都以數據信息的形式存儲在計算機中,計算機是檔案信息存儲的載體,一旦計算機發生故障或者被黑客攻擊,檔案信息就存在泄漏的可能。現在對計算機檔案信息產生威脅的因素包括計算機故障、病毒和黑客攻擊以及人為操作故障導致的停機。計算機是由數量龐大的元器件構成的,計算機在使用過程中受電壓、溫度以及線路問題等很容易出現硬件故障,導致計算機出現藍屏、死機等狀況,而一旦計算機硬盤出現故障就會造成檔案信息的丟失和破壞。計算機檔案信息管理通過專業軟件進行來實現的,一旦計算機軟件出現問題,也會給檔案信息的安全造成極大的威脅;病毒和黑客攻擊是威脅檔案信息安全的一個重要因素,雖然現階段有很多殺毒和防火墻軟件,但是這并不能保證計算機免于病毒和黑客的攻擊;人為管理因素也是威脅檔案信息安全的一大因素,有的工作人員操作不規范,存在人為操作故障或者錯誤刪除數據等情況。除了計算機方面的因素外,機房消防安全、設備防雷、氣候變化、自然災害以及盜竊等都是威脅檔案信息安全的因素。
3企業檔案信息安全管理策略
3.1樹立檔案信息安全管理意識。
檔案信息安全管理意識的樹立是提高檔案信息管理的重要措施,然而,目前大多數企業的檔案信息安全管理都只是“說起來很重要,忙起來就忘掉”的現狀,只有人人具有檔案信息安全意識才能在工作中時刻注重檔案信息的安全,促進企業的檔案信息安全管理。所以,企業要加強對工作人員的檔案信息安全意識培訓工作,大力開展檔案信息安全教育會議來提高和樹立工作人員的檔案信息安全意識。同時,企業還可以通過張貼標語、企業通知、內部報刊以及企業網站等多種途徑來提高工作人員檔信息安全意識。此外,企業還可以開展相關知識競賽、專業技能挑戰賽等相關的實戰演練,科學、有效的提高工作人員的檔案信息安全管理效率和水平。
3.2建立健全的檔案信息管理制度。
企業要加強內部管理,建立健全的檔案信息安全管理制度,并建立職責明確的責任體系,確保企業檔案信息安全管理工作順利的開展。根據資料顯示,大部分的企業網絡入侵案都可以通過加強企業管理來避免,大部分的檔案信息丟失或損毀都是由計算機故障和人為因素造成的。所以,企業必須加強檔案信息安全管理制度建設,實行統一的領導、分級管理,明確每一個工作人員的責任,保證出現問題,有人負責,建立完善的信息安全責任體系,提高工作人員的工作積極性。要對現有的制度進行科學的改良,并對制度的制定和執行進行嚴格的監督,保證企業檔案信息安全管理制度有效的執行。
3.3信息內容的安全管理。
企業檔案信息主要以電子郵件、網頁瀏覽以及專業軟件等方式進行操作,為了保證檔案信息的安全,在檔案信息以郵件發出前,應對計算機進行全面的殺毒,并開啟防火墻,防止計算機病毒和黑客的攻擊對檔案信息安全造成威脅;在以網頁形式進行操作時,要對計算機進行實時病毒監控,并應用網頁內容過濾系統和阻隔瀏覽網頁系統等,提高檔案信息的安全性;在運行檔案信息管理軟件時,要做好殺毒和監控工作,對操作步驟進行記錄,實時監控計算機的防火墻狀態。目前的電子檔案主要以影像為主,為了保證檔案信息的安全性,應對提取檔案的過程加以重視,禁止隨意使用U盤進行檔案資料的拷貝,以免檔案文件遭到篡改、丟失或者破壞。企業還要嚴格做好檔案信息的備份工作,提高檔案信息的安全性。
3.4采用安全可靠的技術措施。
技術措施是保證檔案信息安全管理的重要手段,主要是對檔案信息存儲的計算機操作系統、機房設備以及數據存儲等提供技術支持,提高檔案信息的安全性。首先,將企業信息內網與互聯網采取措施進行隔離,對內網、外網各自安裝防火墻,對檔案信息的訪問實施審查和控制,并對訪問者地址進行跟蹤;其次,做好機房的安全保護措施,安裝先進的門禁系統、自動報警系統以及火災預警系統等,并嚴格控制機房的溫度,為計算機配置安全穩定的雙線路電源,并做好機房設備的防雷措施;最后,要對檔案信息數據進行加密,只有管理人員才能操作管理。并對信息進行實時的檢查、備份,確保檔案信息萬無一失。還要做好計算機防護措施,安裝專業殺毒軟件和防火墻并定時更新系統和病毒庫,提高計算機的安全性能。
3.5采取嚴格有效的管理措施。
要嚴格執行檔案信息安全管理制度,并設立明確的機構,確定每個工作人員的責任。加強人員安全管理措施,對檔案信息管理人員進行嚴格的考核,并簽署保密協議,防止人為操作導致的檔案信息泄密;對于進出機房要嚴格進行審查、登記,禁止非工作人員進入機房,并做好機房周圍的保護措施;對檔案信息的日常管理要做好記錄工作,并進行實時監控,強化檔案信息的存儲、使用以及銷毀等步驟;要建立完善的應急預案,加強檔案信息安全培訓與演練工作,確保檔案信息出現問題后人力、技術以及設備等應急資源可用,增加企業的檔案信息安全應急經驗。隨著現代網絡技術的快速發展,檔案信息的安全管理面臨著巨大的挑戰,所以,企業應采取措施加強網絡環境下檔案信息管理的安全性。企業在檔案安全管理中,要不斷加強全體員工的檔案安全管理教育工作,提高員工的安全管理意識,還應不斷完善檔案安全管理體系,制定切實有效的管理制度,并不斷提高檔案信息管理人員的專業素養。總之,只有多方位、全方面的做好檔案管理工作,才能切實提高企業檔案信息管理的安全性。
作者:彭怡菁 單位:上海碧波水資源技術綜合服務部
一、我國電子政務信息安全的法律環境
我國電子政務信息安全的法律環境是伴隨著加強信息安全基礎設施建設和電子政務體系的不斷完善而逐漸形成的。很多學者在對電子政務信息安全法律環境進行界定時通常都會參考國際上其他國家電子政務信息安全法律環境建設的經驗,從立法和實踐層面加以總結和概括。有的學者以信息安全為背景,將電子政務領域有關法律主體的權利和義務范圍劃分為信息安全參與主體的權利和義務、信息安全執行的客體環境、各類計算機和網絡犯罪活動以及網絡信息預警和干預體系等。有的學者則以電子政務為基礎,將涉及到信息安全內容的法律環境加以劃分,包括電子政務信息系統的適用、計算機設備硬件的適用、網絡環境的威脅和污染、計算機操作者權利和義務的法律適用等。事實上,不管是以信息安全為背景分析電子政務的法律環境,還是以法律框架來劃分信息安全的構成體系,都需要合理地界定信息安全的電子政務適用范圍。隨著信息技術的不斷發展和科學技術的不斷提高,我國也逐步加大了有關電子政務信息安全法律保障的力度。黨的十八屆三中全會通過的《中共中央關于全面深化改革若干重大問題的決定》明確提出,要“堅持積極利用、科學發展、依法管理、確保安全”的方針,加大依法管理網絡力度,完善互聯網管理領導體制。中央網絡安全與信息化領導小組的成立,即標志著中國網絡安全和信息化戰略已提上重要的議事日程。目前,我國已經頒布了與信息系統相關的法律,如為了保護計算機信息系統的安全,于1994年頒布了《計算機信息系統安全保護條例》;為了加強對計算機信息系統國際聯網的保密管理,頒布了《計算機信息系統國際聯網保密管理規定》;為了保障公眾依法獲取政府信息,促進政府依法行政,頒布了《中華人民共和國政府信息公開條例》(2008年)。盡管如此,我國目前仍缺少針對信息安全領域的法律法規,各種有關電子政務信息安全的法律法規都散落見于各地各類的條例和辦法之中。因各地情況和出臺的政策不同,加上歷史沿革的原因,在執行過程中往往會出現職能交叉、權責不明的現象,導致多頭管理的情況時有發生。由此可見,與發達國家相比,我國的電子政務信息安全法律環境建設還處于初期階段。
二、我國電子政務信息安全法律環境建設存在的問題
⒈電子政務信息安全立法的效力不高,涉及內容分散,缺少頂層設計。
從我國目前的情況來看,有關電子政務信息安全的法律法規大部分是由國務院制定的行政法規以及各地區制定的管理條例和規范,主要集中在信息安全和技術領域,較為零散,沒有形成統一的法律框架和體系。雖然各地都在積極、努力地建設轄區的電子政務信息安全法律環境,但由于經濟發展不平衡,安全標準不統一,責任落實不到位,導致了電子政務信息安全法律環境建設的程度不盡相同。由于各地電子政務信息安全法律環境建設缺乏統一的衡量標準,因而導致了標準混亂的現象。雖然很多法律法規的制定具有一定的針對性,但隨著形勢的變化,一些根據當時標準制定的法律法規也就失去了權威性和公正性,這既不利于公眾共享和獲取信息,也不利于跨部門和跨地區的信息互通,由此產生了“信息孤島”現象。G2G,G2B,G2C的活動缺乏統一的綱領性指導意見,管理制度、服務體系、后期保障等都缺乏較為明晰的內容,由此衍生出的權屬問題和層級問題在一定程度上阻礙了電子政務信息安全法律環境建設。
⒉對電子政務信息安全法律政策執行過程缺乏監督,約束力不強,不作為現象時有發生。
焦點訪談曾經報道過這樣一個案例:深圳市一位老人想為自己一套存在歷史遺留問題的房子辦理房產證,尋求幫助多次未果,后來深圳市政府在市民中心、公安局、國土局等辦事大廳里安裝了電子監察系統,這套系統的鏡頭能夠360度旋轉,聲頻跟蹤。通過安裝的監察設備,監察人員在確定沒有爭議后,為老人辦理了房產證。對此,時任江蘇省蘇州市監察局副局長的吳亮坦言,能夠通過電子監察系統發現的問題是非常有限的,516個行政審批項目,14000余件的辦案量不可能完全依靠電子設備進行監督和保障。因此,信息安全監察系統建設是完善電子政務信息安全法律環境的前提,只有對現行的法律法規進行全面的梳理,明確相關人員的義務和責任,才能構建起高效的監督機制。
⒊電子政務信息安全存在多頭管理、職能交叉的現象。
目前,我國電子政務信息安全主管機構包括但不限于國務院信息化工作領導小組、國家工業和信息化產業部、國家安全部、國家公安部、國家保密局等等。但在實踐中,國務院信息化工作領導小組與國務院有關行政部門并沒有形成直接的上下級關系,因此很難發揮協調作用。由于各職能部門依據的法律法規有所不同,因此,在案件處理過程中就會產生管轄沖突、權限沖突,不僅造成了法律資源的浪費,也影響了整體的管理效率和執法效果。尤其是關于信息安全的案例,往往涉及到國家信息安全、國防信息安全、公民信息安全、財產信息安全、個人信息安全等等。由于目前我國還沒有出臺一部綜合性的信息安全基本法,因而在一定程度上造成了相關領域管轄上的空白。
三、優化我國電子政務信息安全法律環境的對策
⒈在立法層面,營造有利于電子政務信息安全的法律環境。
首先,要提高對電子政務信息安全立法重要性的認識,即電子政務信息安全法律環境建設是為了適應現代電子政務蓬勃發展的需要,完善的法律法規體系能夠保障和推動電子政務信息安全法律環境建設。其次,電子政務信息安全法律環境建設需要與時俱進。要在中央網絡安全與信息化領導小組的統一指揮下,按步驟、有序地加以推進,制定出符合我國國情的電子政務信息安全領域的統領性法律,以達到立法原則的統一、信息安全標準的一致。再次,要明確“安全”的內容,厘清信息安全參與者包括信息服務提供者、接受信息服務者以及其他信息服務參與者的權限,制定信息安全立法的原則、目標和任務。
⒉完善監督體系,推動電子政務信息安全法律環境建設。
電子政務信息安全涉及的法律法規較多,比如《保密法》、《檔案法》、《侵權行為法》、《信息公開法》等。這就需要各級政府、各個部門和相關的工作人員在實踐中要實現信息共享。為了實現電子政務信息化發展和法制建設相互促進,用健全的法律環境輔助電子政務信息安全的發展,需要相關部門運用信息技術、網絡服務安全、信用測評與管理以及政府監控測評體系等手段加以規范,用“電子”手段處理“政務”。
⒊加強電子政務信息安全的跨部門、跨領域合作,改善電子政務信息安全法律環境。
電子政務信息安全法律環境建設不僅需要有統一的綱領性文件加以指導,在實際操作中更需要電子政務信息安全參與者之間的合作,因此,必須提高對電子政務信息安全立法重要性的認識,實現跨部門、跨地區、跨領域的共享與合作,讓“信息孤島”逐漸成為信息溝通的“自由大陸”,用“多對一”、“一對一”的方式取代“一對多”的傳統辦事方式,提高服務效率。
四、結語
總之,我國電子政務信息安全法律環境建設還存在許多問題,對此,我國不僅要立足國情,更要放眼世界,要充分考慮到電子政務信息安全法律環境建設的全球化趨勢,更好地構建我國電子政務信息安全法律環境。
作者:張貝爾 單位:吉林工商學院
一、互聯網金融的基本情況
互聯網金融主要有以下特點:一是資源開放性,基于互聯網開放共享的特點,通過大數據、云計算等互聯網技術,對海量信息進行檢索、整理和組織,進而扁平化互聯網信息資源,以滿足對金融信息的需求,使用戶獲得金融信息的方式更便捷;二是成本低、效率高,通過P2P直接交易進行金融資源的優化配置,使資金供求信息在互聯網中形成“池”效應,資金供求雙方可以通過網絡平臺完成交易,無傳統中介、無交易成本,通過大數據的分析和挖掘,能夠更快更好地完成風險評估,業務處理速度更快;三是發展速度快,依托于大數據、云計算和電子商務的發展,互聯網金融得到了快速成長,出現了眾多互聯網金融新模式,如互聯網支付、P2P網絡借貸、網絡小額貸款、眾籌融資等;四是風險大,由于缺乏金融風險控制經驗,我國信用體系尚不完善,互聯網金融的相關法律不健全,互聯網金融違約成本較低,互聯網金融的普惠特點容易誘發惡意騙貸、卷款跑路等風險問題,其傳染隱蔽性、擴展性的特點,可能會波及整個金融市場,甚至引發金融風險。
二、互聯網金融信息安全概況
一是互聯網金融企業自身的信息安全相對于傳統金融企業仍較薄弱,其中不完善的密鑰管理及加密技術將會給互聯網金融數據安全和業務連續性帶來嚴重影響,如2013年4月,豐達財富P2P網貸平臺遭到持續攻擊,網站癱瘓5分鐘,2014年3月網貸之家官網遭到惡意攻擊等。二是互聯網金融企業自身的內部風險控制亟待提高,管理也存在較大局限性,互聯網金融企業雖然可以依據大數據來分析用戶的行為,監管各種交易風險,但是這些更多的是對微觀層面的控制,很難從宏觀上進行監控,如2013年8月的光大證券烏龍指事件。三是用戶認識度不高,用戶對互聯網金融借助的大數據云技術概念和技術缺乏了解,沒有考慮自身的需要,完全照搬國外經驗,以致資源利用率不高,導致人力物力財力的浪費。四是消費者信息安全防范意識仍舊薄弱,如點擊不明鏈接,遭受木馬攻擊,導致泄露支付賬號和密碼以及消費者身份信息等。
三、互聯網金融信息安全風險分類
1.信息技術風險
一是計算機客戶端安全風險,目前互聯網金融客戶端基本采用用戶名和密碼進行登陸的方式,缺乏傳統金融行業的動態口令、U盾等輔助安全手段,一旦客戶端感染病毒、木馬等惡意程序將嚴重威脅互聯網金融賬戶和密碼安全。二是網絡通信風險,在互聯網環境下,交易信息通過網絡傳輸,部分互聯網金融平臺并沒有在“傳輸、存儲、使用、銷毀”等環節建立保護敏感信息的完整機制,互聯網金融中的數據傳輸和傳輸等過程的加密算法,一旦被攻破,將造成客戶的資金、賬號和密碼等的泄露,給互聯網金融信息安全造成嚴重影響。三是互聯網金融業務系統及數據庫存在漏洞風險,互聯網平臺面臨網頁掛馬、數據篡改、DDoS攻擊、病毒等信息安全風險,數據庫系統存在越權使用、權限濫用等安全威脅。
2.業務管理類風險
一是應急管理風險,絕大多數互聯網金融企業沒有較好且完備的應急管理計劃和災備系統,業務連續性較差,一旦發生電力中斷、地震等災害,將給公司造成非常大的損失乃至導致破產。二是內控管理風險,互聯網金融企業大多存在內控制度的建設不完善和執行力欠缺的問題,員工的不當操作以及內部控制的失敗,可能在內部控制和信息系統存在缺陷時導致不可預期的損失。三是外包管理風險,目前大多數互聯網金融企業基本采用外包的形式為企業提供業務或技術支持。如果缺乏業務外包管理制度或未明確業務外包范圍,將導致不宜外包的優秀業務進行外包,出現泄密風險。四是法律風險,目前有關互聯網金融的法律法規不完善,缺乏監管措施,這些將影響互聯網金融的健康發展。
四、構建互聯網金融信息安全風險體系
1.建全互聯網金融監管的法律法規
一是完善互聯網金融法律法規,制定互聯網金融信息安全行業標準,提高互聯網金融企業的安全準入門檻,明確互聯網金融企業的法律地位和金融監管部門以及政府監管職責和互聯網金融的準入和退出機制,從而搭建起互聯網金融法律體系。二是構建包含一行三會、司法和稅務等多部門的多層次、跨行業、跨區域的互聯網金融監管體系。三是提升互聯網金融消費者權益保護力度,加強信用環境建設和完善信息披露制度,暢通互聯網金融消費的投訴受理渠道,逐步完善互聯網金融消費者權益保護的法律制度框架,建立消費者保護的協調合作機制。
2.建立互聯網金融信息安全技術標準
建立互聯網金融信息安全技術標準,增強互聯網金融企業的協調聯系機制,加強信息安全風險的監測和預防工作,加快與國際上有關計算機網絡安全的標準和規范對接。整合資源,建立以客戶為中心的互聯網金融信息安全數據庫,以實現數據的歸類整理分析和實時監控業務流程。
3.加強互聯網金融信息安全技術體系建設
目前我國互聯網金融系統優秀技術缺少自主知識產權,加之“棱鏡門”的出現,使我國互聯網金融計算機系統存在較大的風險隱患。因此,必須加強互聯網金融信息安全技術體系建設,在優秀軟硬件上去除“IOE”,開發具有高度自主知識產權的優秀技術,使在互聯網金融的關鍵領域和關鍵環節使用國產化軟硬件設備,提升互聯網金融的信息安全風險防范能力,加大對信息安全技術的投入,以信息安全等級保護為基礎,建立基于云計算和大數據的標準體系,應用PDCA的思想,從整個信息系統生命周期來實現互聯網金融長期有效的安全保障。
4.建設互聯網金融信息安全風險評估應急體系
針對當前互聯網金融的發展特點,應參考國際先進風險評估規范,制訂業務連續性計劃,建設互聯網金融安全風險評估應急體系,以風險管理的視角分析互聯網金融信息安全系統所存在的漏洞、威脅及脆弱性,評估發生信息安全事件時可能造成的危害,并提出整改措施和相應對策,以防范化解互聯網金融信息安全風險。大力推進互聯網金融系統災備和應急體系建設,應急演練常態化,建立第三方評估機制,從而保障互聯網金融信息安全。
作者:陳磊 史曉紅 單位:中國人民銀行蚌埠市中心支行 安徽財經大學經濟學院
一、加強中學生信息安全教育的意義
(一)中學生是信息社會中信息活動的重要參與者
中學生是當前社會信息活動中的一個重要參與者,而中學生信息安全素養也影響著信息活動的各個方面。
(二)中學生是信息安全未來的參與者和推動者
隨著我國社會各方面信息化水平不斷提高,中學生參與到信息活動的程度也越來越高,而在這些活動中涉及到信息安全問題,如近幾年媒體報道的少年黑客事件,不斷涌現,其中很多中學生走上了歧途,成為了信息安全的“建設者”。同時,也有一部分少年黑客在正確的引導下成為了“白帽子”走上了紅客道路成為了信息安全的真正的建設者。由此可見,加強中學生信息安全教育其意義更在為我國信息安全領域培養后備力量。
二、加強中學生信息安全教育的建議
(一)加強中學生信息安全意識的培養
1.加強中學生信息安全道德倫理和法律法規教育,使中學生對信息安全有正確的認識,形成正確的價值觀。
中學生作為當前社會中參與信息活動的一個重要群體,應該讓每一各中學生了解和掌握一些信息安全方面的法律法規,《憲法》《國家安全法》《中華人民共和國信息系統安全保護條例》《中華人民共和國計算機信息網絡國際互聯網管理暫行規定》等一些相關的法律法規和對信息活動中涉及信息安全的相關規定增加到教學中,進而增強學生信息安全意識。
2.培養中學生識別信息安全威脅,提高信息安全意識。
中學生既是當前社會信息活動參與者,同時在信息活動中也是弱勢群體。因此,培養中學生能夠辨識信息安全威脅,對于保護青少年和提高其信息安全意識尤為重要。一是通過向中學生講解信息活動中出的各種侵害和危害的案例和事件,讓中學生認識到信息活動中有許多與現實生活相同的威脅存在。二是提高中學生對信息資產的認識,讓學生懂得對個人信息及家庭信息等相關隱私信息的保護,盡可能的規避信息安全風險。三是通過演示一些信息危害手段,讓學生感受到信息活動過程中會面臨信息安全陷阱,讓他們養成良好的操作習慣和思維習慣,進一步提高到信息安全意識。
(二)采用多層次教學模式提高中學生信息安全素養
1.利用課堂教學陣地進行信息安全知識的普及教育,使中學生普遍具有一般的信息安全素養。
中學課程標準和教材中已涉及到了信息安全的內容,一方面從法規層面;另一方面從技能培養上介紹計算機病毒的防治。通過學習這些內容可以使全體學生對信息安全知識和技能有初步的認識和掌握,可以應對簡單的信息安全威脅。所以,要充分抓住課堂這個普及信息安全的教學主陣地,進行信息安全教育。
2.利用第二課堂對中學生進行信息安全知識的拓展,進一步提升中學生的信息安全素養。
通過開設興趣班和學生社團等多種形式,給對信息安全感興趣的學生開設第二課堂,如增加社會工程學入門、破解基礎知識、滲透工具使用等課程。使學生的信息安全素養在原有的基礎上得到進一步的發展。
3.利用各種比賽進行信息安全的實踐,真正提高學生信息安全素養。
隨著我國各領域對信息安全重視程度的不斷提高,高校、企業都參與到了信息安全人才的培養中來。一些高校每年舉辦的信息安全對抗或網絡攻防賽,還有一些企業也周期性舉辦一些信息安全賽事。其中,一些比賽和活動中學生也可以參加,為中學生提供信息安全實踐的通道。通過參加比賽,使中學生充分體驗到信息安全攻防,信息安全素養得到快速的提高。中學生雖然沒有較高的專業知識理論,但他們中一些對信息安全的敏銳感覺有時卻超越專業人士,競賽和活動可以讓一些對信息安全有特質的中學生脫穎而出,這樣就可以盡早為我國選拔出信息安全建設的后備力量。國家的重視、企業的參與、學校的教育,都會快速推進我國信息安全人才的培養。縱觀信息安全的發展歷程,也許在一開始我們出發的較晚,但到了今天我們卻可以迎頭趕上,甚至超越我們的對手。作為教育要先行一步,要加強對中學生的信息安全意識的培養;加強中學生的信息安全知素養。為我國信息安全建設的優秀人才建設奠定良好的基礎。
作者:高洪波 單位:烏海市第四中學
一、檔案信息安全隱患的表現
(一)檔案信息制度不健全帶來的信息安全隱患
在檔案信息化突飛猛進的背景下,相關的檔案信息安全管理制度卻未及時地建立起來,給別有用心的人竊取和不當利用檔案信息以可乘之機,嚴重危害著檔案信息的安全。比如,有的檔案管理單位解答了檔案利用者的問題,因為認為該問題具有代表性,就將該問題放入常見問題資訊庫中。若該檔案管理單位缺乏檔案信息的保護制度和保密意識,沒有對咨詢人的個人信息進行必要的屏蔽和處理,可能會造成用戶信息的泄露,侵犯檔案利用者的隱私權。再比如,有的地市住房公積金管理網絡系統由于缺乏相應的安全制度和技術保障措施,只需要輸入公積金繳存人的姓名就可以查閱到其工資水平和住房公積金繳納情況,而個人的收入狀況屬于個人不愿向外界透漏的的隱私,這就造成了個人檔案信息的泄露。
(二)檔案網絡化管理帶來的信息安全隱患
網絡化管理給檔案管理工作帶來便利。但是,計算機感染木馬病毒和遭受黑客惡意攻擊的風險給檔案信息的安全性帶來隱患。木馬程序一旦侵入檔案管理系統,很可能會破壞檔案信息數據,甚至會采取篡改、盜竊、銷毀檔案數據的破壞手段,造成檔案管理的混亂,給檔案數據的安全性帶來致命損害。另外,以光盤、硬盤等存儲介質為載體的電子數據檔案有其自身不可克服的缺點,如信息數據不夠穩定、易于損壞和難以固定保存等,加之檔案存儲設備更新速度很快,若不對檔案存儲設備以及相關的計算機硬件和軟件及時更新,解決數字檔案的格式轉換等問題,極易造成檔案數據丟失、毀損或無法順利讀取等情況發生。
(三)檔案管理造成的信息安全隱患
檔案信息化對檔案管理人員的素質提出了更高的要求,要求檔案管理人員不但要精通檔案管理知識,還要精通互聯網知識、計算機和相應檔案管理軟件的操作方法。但是,當前檔案管理人員的年齡結構存在普遍偏大的狀況。有些年齡較大的檔案管理人員知識更新不夠及時,仍然拘泥于傳統的檔案管理模式,對信息化的檔案管理可能會感覺力不從心。因為對檔案管理設備和檔案管理軟件研究不夠深入,操作熟練程度不夠等原因,在管理過程中容易造成檔案數據意外刪除等丟失毀損情況,構成檔案信息的安全隱患。
二、加強檔案信息安全的舉措
(一)加強制度建設,提高檔案安全管理意識
首先,單位領導要充分認識到檔案信息安全管理的重要性,制定相應的檔案信息安全管理制度,與檔案管理人員簽訂檔案安全管理責任承諾書,安排專門檔案管理人員對所有檔案信息進行保密管理,規范檔案信息的保密審查程序和公開程序,確保做到公開的檔案信息不涉密,涉密的檔案信息不公開。同時,要完善檔案信息安全防范機制,嚴格禁止其他計算機對檔案管理系統網絡的接入和訪問,涉密的檔案信息不允許與互聯網聯接,涉密的計算機要設置專用密碼,在轉為非涉密計算機時要按照《保密法》的規定對存儲硬盤進行拆除。
(二)不斷提高檔案安全管理技術,做好電子檔案的異質備份工作
首先,提升檔案安全管理技術是保障檔案信息安全的有效途徑,要定期對管理檔案的計算機設備進行殺毒軟件的升級,及時對病毒進行掃描和查殺,避免木馬程序和黑客惡意侵入檔案管理系統。同時,定期對檔案管理設備如計算機設備、打印機、復印設備等進行檢查,確保各種檔案管理設備的正常使用。其次,承載電子數據檔案的存儲設備有別于傳統的檔案載體文件,對它的讀取必須依靠必要的硬件設備和閱讀軟件才能夠實現,對這些電子文件檔案同時轉化為其他類型的載體就成為必要。做好電子檔案的異質備份工作,就可以防止隨著技術的發展出現現有的電子檔案因為缺乏相應的閱讀設備和軟件而不能順利讀取的尷尬局面。異質備份的常見方法主要有:將網絡下載文件轉變成紙質文檔;將紙質文檔通過掃描等手段轉換成電子文檔;將現有的電子照片通過拷貝等形式制作成多份備查等。
(三)優化檔案管理人員結構,提高檔案安全防范意識
檔案管理的信息化對檔案管理人員的素質提出了更高要求,要優化檔案管理人員結構,建立形成梯隊的復合型檔案管理隊伍。檔案管理人員不但要熟悉檔案管理方面的業務知識以及相關的檔案管理法規,還要對計算機操作、互聯網知識等現代化的科技知識做到熟練掌握。這就要求我們必須要建立健全檔案管理人員的管理制度,對檔案管理人員的配備、流入流出等規定嚴格的程序,明確各類管理人員的工作職責和違反規定造成檔案安全信息不當泄露應承擔的責任。要定期對檔案管理人員進行業務知識和檔案信息安全管理方面的培訓,提高他們的安全防范意識和防范技能水平。
三、結語
在檔案信息化建設進程中,保障檔案信息安全是檔案管理工作的應有之意。我們必須從檔案信息安全管理的制度化建設、檔案管理網絡的建設和檔案管理的隊伍建設等方面出發,采取切實有效的措施做好檔案信息安全的防范措施,確保檔案信息的絕對安全,讓檔案管理工作在經濟建設過程中發揮更大的作用。
作者:黃程鵬 單位:東營職業學院辦公室
1、網絡信息安全現狀
從我國目前的網絡信息安全狀況上來看,我國的互聯網信息技術起步較晚,在網絡信息安全防御上面與發達國家還有著一定的差距,但是,其相關的法律法規正在進行著完善,對于網絡傳播的內容也在進行著一定意義上的控制,通過網絡輿論,其基本的信息安全得到了一定的監督。在相關網絡信息安全人才培養方面,國家正在進行著發展,各大高校已經對于有著相關天賦的人進行了強化培養,從校園人才的培養方面加強了網絡信息安全的發展。根據調查顯示,我國目前的互聯網經濟已經達到了GDP的5.5%,成為了促進經濟發展的一重要因素。中國的后現展,很大程度上決定于信息化的發展,作為全球信息化發展最為迅速的國家,對于信息安全的保證也是發展的重要方面。
2、網絡信息安全缺陷
隨著經濟的發展,網絡信息安全的重要性在各個領域得以體現,但是,從我國目前的網絡信息安全中來看,依然存在著缺陷。下面,我們同我國網絡信息安全的現狀出發,分析互聯網發展中網絡信息的安全缺陷。
2.1計算機病毒
從互聯網發展開始,計算機病毒就是影響著網絡安全的重要因素。其傳播面之廣、影響因素之大,無一不對網絡信息安全產生著極大的威脅。從其破壞性的角度來說,因為其可以造成操作以及應用系統的大面積癱瘓,所以其系統中的基本信息容易受到入侵和破壞,而配合其極為強大的網絡傳播性,信息在短時間內進行大面積的擴散傳播,這樣的危害,導致了極大的網絡安全威脅,是被重點防范的對象。雖然目前的殺毒軟件可以對一部分的病毒進行消滅,但是明顯這樣的防范系統難以對于病毒系統進行嚴密的防范,而病毒的發明速度之快,導致了有人利用病毒對于網上信息進行交易,這樣日趨透明化的趨勢,導致了用戶的信息難以安全保存,是目前網絡信息安全中最大的威脅。
2.2黑客攻擊
黑客攻擊在一定意義上與計算機病毒有著相同的破壞作用,相關的網絡人員通過入侵計算機網絡來盜取所需的信息內容,對于系統進行破壞,對于信息進行買賣。從目前世界的角度上來說,黑客的攻擊手段幾乎進行著不斷地改變,每天有著各種信息安全漏洞被其利用。隨著各個領域對于互聯網的利用,黑客的攻擊對象正在趨向于政府部門、情報部門以及大型的企業和銀行,這樣集體化作戰的群體,成為了互聯網中的害群之馬,導致了數以億計的損失。這樣的行為令人們對于網絡信息安全的信任不斷下降,而也正是因為黑客超高的技術手段,導致追蹤、抓捕等問題都難以快速實施,信息也因此受到了更多的傳播和擴散。
2.3網絡監管力度不強
對于我國來說,網絡信息安全的缺點主要集中于對于網絡監管力度不強這一方面。目前,有關于網絡信息安全的法律還沒有進行合理的完善和發展,這樣的法律漏洞,令一部分人對于去不法行為沒有基本的認識,肆意妄為。從國家政府的監管上面來看,因為組織監控力度不夠,所以信息安全事故不斷發生,信息安全受到威脅已經成為了目前網絡的常見事件。雖然我國在進行著互聯網技術的不斷發展變革,但是對于信息安全的重視程度依然沒有提高,政府投入維護信息安全的資金大大不夠,這樣不重視的態度,也令我國的監管困難。
3、網絡信息安全的重要性
自從計算機的逐漸推廣利用開始之后,人類的信息時代正式來臨,計算機通過對于資源的共享以及快速的傳遞,提高了各個領域人員的工作效率,深入到了國防、科技、文化等方面。但是,也正是因為這樣,網絡信息安全越來越受到了威脅,世界范圍之內不斷出現信息被盜而引起的安全事故,網絡人民的對于信息安全越來越擔憂,國家也開始逐漸加強相關問題的防范。下面,我們通過對于網絡信息安全的意義來分析,了解在生活、政治領域網絡信息安全的重要性。
3.1國家安全戰略意義
目前,網絡信息安全是國家重點發展的項目之一,隨著對于互聯網的利用,這個非傳統的安全領域成為了脆弱的信息中樞,在保護著國家安全的同時,也受到了極為嚴密的保護。一般來說,因為網絡中對于相關信息的傳播較為迅速,所以開放性的網絡極其容易被不法人員進行利用,不僅將謠言等快速的在國民之間進行傳播,還對于社會產生了極壞的影響,一定范圍內的傳播有可能引發社會動蕩以及人民的不安,對于社會的政治穩定有著不良影響。舉例來說,世界恐怖主義組織———基地組織就曾經利用網絡信息的安全漏洞進行恐怖人員的招募,而許多相關的襲擊口令也是通過網絡進行。由此可見,網絡信息安全極為重要,加大對于這一問題的防范,可能組織很多社會不良事件的發生,一旦疏于管理,就有可能被不法組織利用,做出危害社會以及公民的行為。對于網絡信息安全的治理,已經成為了國家以及相關部門的重點研究方向,做好網絡信息安全的保護工作,是構建一個和諧發展的社會的重要基礎以及國家的重要保護屏障。
3.2經濟發展意義
在互聯網發展的過程中,各大公司、銀行以及企業都加入到了其使用之中,對于網絡信息的依賴程度較高,這樣的使用情況,令網絡的意義不斷提升,因此,網絡信息安全有著較為重要的經濟發展意義。從目前來看,網絡入侵的手段越來越高明,不少人員專門利用出售、販賣網絡信息來獲取收益,各大企業相關客戶信息被盜、數據遺失等情況時有發生,不僅令企業蒙受巨大的經濟損失,還對于我國的基本經濟發展產生了威脅。這樣的經濟流動顯然并不符合應有的經濟發展行為,只有在其交易進行的源頭進行遏制,才能夠保證不合法交易能夠逐漸減少以致消失。所以,加大網絡信息安全的保護力度,是提高我國經濟,保證社會正常發展的重要措施。從銀行的經濟發展上來看,對于網絡信息安全進行注意也是較為重要的。金融行業作為我國經濟發展的支柱行業,對于網絡系統資料的保密是相當重要的,一旦銀行信息安全網絡受到入侵,那么不僅會大面積的影響資金的流動以及金融行業的穩定,對于每一個儲戶也有著不小的經濟損失,直接影響著人們的正常生產生活。由此可見,網絡信息安全的重要性體現在了經濟的基礎性發展之上。
3.3文化保護意義
對于各個國家民族來說,文化有著相當重要的意義,對于文化安全的保護,是體現一個國家基本競爭力的重要表現。在目前全世界進行產業文化革命以及創新的發展之中,互聯網成為了其發展的基本紐帶,這個重要的技術平臺,對于文化往往也有著相當重要的話語權,而以美國為首的國家,正在通過網絡向人們進行信息文化的傳播以及滲透,對于我國文化進行了一定意義上的覆蓋,這樣的發展現狀,令國家對于網絡信息安全不斷加大保護力度,防止發達國家通過互聯網進行信息的不平衡交流,對于我國文化進行腐蝕和威脅。對于一個民族來說,文化的傳承是民族發展的根本,能夠加深民族之間的凝聚力,保證民族擁有自身的文化信仰,以影響著民族的建設與發展。目前,互聯網的使用令民族信息開始了不斷的傳遞,相關內容傳播速度飛快,這樣的信息傳播量雖然能夠保證人們加深對于信息文化的深刻認識,但是也容易受到攻擊。一旦發達國家對于我國的文化信息進行侵蝕,傳播自身的價值以及文化觀念,不僅會令我國的文化逐漸消沉且受到質疑,還有可能影響人民的愛國思想,容易受到不法分子的鼓動挑撥。
3.4軍事建設意義
對于國家來說,軍事國防是極為機密的事情,雖然目前的戰爭并沒有在我國打響,但是信息安全無疑成為了一場沒有“硝煙”的戰爭。這個與機械化戰爭毫無關系的新型戰爭形勢,影響著各國發展的大局,其戰爭內容囊括各個領域。目前,國家網絡空間戰爭的形勢極為嚴峻,在信息情報竊取、輿論煽動上面都產生了極大的影響。一場無形的破壞方式正在通過網絡信息安全席卷全球各個國家,網絡戰爭成為了目前軍事斗爭的主要戰場。從目前的形式上面來看,我國的網絡信息安全已經一定意義上影響了基本的軍事建設,對于我國的國家發展戰略產生了深遠影響。網絡信息的頻繁流動,令相關的資料出現了被盜取的可能性,加強目前國家的網絡信息保護工作,對于相關問題及時進行治理,是維護軍事機密以及維持社會穩定重要的方面。
4、總結
無論從國家還是社會發展的角度來說,網絡信息安全已經成為了難以忽略的重要組成部分,其影響之深遠,傳播之快速,都有著利與弊。從網絡信息安全的重要性上進行分析,我們可以發現其重要意義已經深入到了文化、經濟甚至國防領域,無論是計算機病毒,還是黑客技術,其影響都極為惡略。面對這樣的網絡信息安全重要性的提高,國家需要針對于相關的網絡信息漏洞做出針對性的方針,保證能夠最大限度的維護信息安全。從目前來看,雖然我國的信息安全問題尚存漏洞,有著極多不安全因素,但是其發展速度在不斷加快,對于相關問題正在進行著合理有效地解決。我國的信息安全,伴隨著信息產業的發展將會不斷的進行完善,對于網絡信息安全的研究也將會不斷的加深,吸取發達國家的先進經驗,其發展將會日新月異。
作者:劉光強 單位:渤海大學信息科學與技術學院
一、移動移動智能終端信息安全的發展現狀
目前信息安全是一個所有人都比較關注的問題,作為唯一一個對用戶的移動業務體現形式的移動終端,同時作為載體存儲用戶個人的信息,是要與移動網絡配合以保證安全的移動業務,實現移動終端與移動網絡之間可靠安全的通信通道,同時還要使具有機密性、完整性的用戶個人信息得以保證。不斷強大的和逐漸普及的移動終端功能,不可或缺的用品逐漸成為移動終端在日常生活中人們的普遍共識,而同時在帶給用戶便利的這些具有強大功能的智能終端,也導致了一系列日益突顯的信息安全的問題。一方面,越來越多的個人信息存儲在智能終端中;而另一方面,信息的泄露與病毒的傳播也會為數據交換功能和豐富的通信所引起。在管理進網檢測中,分析現有的信息安全威脅,并對移動智能終端通過專業的安全檢測工具檢測操作系統,讓終端自身的防護能力被移動智能終端的制造商所提高,以保護原本沒有防護能力的智能終端。使用戶在使用通過行業標準規范的應用程序時可知、可控。但是,目前仍有水平不足的自我管理、意識不強的信息安全的一部分用戶,同樣會導致暴露部分用戶在移動智能終端上的個人信息。
二、分析個人信息安全的技術問題
隨著不斷發展的科學技術,越來越多的新業務集成在移動終端之上,對信息安全來說,部分的新業務是有其特殊的要求的,新的安全隱患可能伴隨著用戶的部分新的業務。例如移動終端集成了定位業務,其自身的位置信息時可以隨時隨地獲得的,而個人用戶的私密信息也是包含位置信息的;例如移動終端集成了生物識別的技術,則可以記性保護用戶的個人信息的,但是在終端設備上同樣會緩存生物識別的信息的,所以移動終端具備定位業務是有特殊的要求的,尤其是在對于信息安全方面。不存在絕對安全的軟件系統,應在做好相關工作的同時規避不同的風險,可從以下幾方面來實施防范個人信息安全受到威脅:
(1)應用程序的權限進行限制。
安裝應用程序的時候,該應用程序的最小權限必須得以確認,應遵循的原則是最小權限的原則,將大大降低受到惡意軟件攻擊的可能性。但是對于不一定懂得如何驗證是否合理權限要求的應用程序的廣大普通用戶,用戶在大多數情況下對于系統所要求的權限會直接授予。所以則需要在設定權限或申請權限時的開發者,使最小權限的原則嚴格的執行。
(2)認證程序應用。
最有效的手段之一就是認證并防范惡意的程序。審查相關的代碼經過應用程序以及完整的測試,可得到權威機構的認證并確認其合理的使用權限,這力的防范了惡意程序。
(3)設置數據信息的加密功能。
用戶在使用瀏覽具有個人隱私性質的信息或是應用時,硬通過設置一系列的登錄用戶口令來使某些移動智能終端的功能解鎖,以減少威脅安全的情況發生。
(4)備份私有數據以及做好防護措施。
用戶在使用私有數據時,應提早及時的做好數據的備份以及防護措施能,以免在數據發生損毀或是泄漏時能夠有效的找回,而且做好數據的防護措施例如密碼找回。則可防止信息的二次泄露以免造成巨大的損失。
三、結語
加強宣傳培養用戶信息的安全意識是個持續性的戰略,安全的智能終端的信息常識的普及,只到正規的應用程序商店下載安裝、避免安裝來源不明的軟件、只安裝通過認證的應用程序、避免連接不明的網絡以及不明的終端設備、只連接可信的主機或其他終端設備、設置用戶口令、加密隱私數據、安裝防病毒軟件等,從而實現智能終端的個人信息安全。使自我的管理水平得到顯著地提升。
作者:林春 李瑞 單位:南京郵電大學
1影響網絡安全的主要因素
1.1硬件因素
計算機網絡是很復雜的,按地理范圍來分主要用到的就是兩種:局域網和互聯網。服務器與服務器之間、服務器與工作站之間、工作站與工作站之間怎樣連接,就構成了網絡拓撲結構。而網絡拓撲結構的選擇,依賴于各種因素,如可靠性、可擴充性和網絡特性。我館采用的便是總線+星型拓撲結構,將網絡分為建筑物垂直主干和樓層水平子系統,網絡的可靠性大大提高。水平布線的任何一點出現故障也只會影響到一臺機器的操作,垂直主干的任何一點出現故障也只會影響到一個樓層,整個網絡癱瘓的概率被降低到最小。
1.2軟件因素
在軟件系統的安全性上,防止病毒侵入是一個重點。由于病毒具有破壞性強、傳染快、擴散面廣等特點,因此對信息系統威脅極大,特別是對計算機網絡及大型信息系統的安全。我館采用的由深圳圖書館研制開發的應用軟件ILASII是以UNIX作為系統平臺。UNIX的安全系數達到了C2級標準,主要措施包括:對讀寫操作進行控制、帶保護的子系統、審計和優秀授權等,防毒能力也要比Windows系統強。
1.3人為因素
人為的無意失誤如操作員安全配置不當造成的安全漏洞、用戶安全意識不強、用戶口令選擇不慎、用戶將自己的賬號隨意轉借他人或與別人共享,這些做法都會對數字圖書館的網絡安全帶來威脅。還有就是“黑客”通過一些隱蔽路徑進入圖書館內部網絡,竊取、修改數據,破壞文件,給圖書館的數據庫造成嚴重危害。這是圖書館計算機網絡所面臨的最大威脅。
2保障網絡安全的對策
2.1劃分網段和VLAN來實現
由于局域網是廣播型網絡,因此,若在廣播域中進行竊聽,就可以對信息包進行分析,那么本廣播域的信息傳遞都會暴露無遺。劃分網段,其本質就是限制廣播域,將非法用戶與網絡資源隔離開,從而達到限制用戶非法訪問的目的。其方式可分為物理分段和邏輯分段兩種。物理分段通常是將網絡從物理層和數據鏈層分開網段,各網段相互之間無法進行直接通訊;邏輯分段是指將整個系統在網絡層進行分段。但是,用了VLAN技術仍然有一定的安全問題,如局域網設備成為新的攻擊對象;基于網絡廣播原理的入侵監測技術在交換網絡中的運用問題;基于MAC的VLAN不能防止MAC欺騙攻擊等。
2.2防火墻技術
防火墻通常是網絡互連中的第一道屏障。它的主要功能是控制對受保護網絡的非法訪問。實際上,它是一種隔離控制技術,正確設置防火墻(關閉多余端口及設置安全策略),能有效地監控不同網絡(圖書館內部網和外部網)或者網絡安全域之間的任何活動,攔截非授權的訪問。目前,防火墻技術是實現網絡安全策略最有效的技術之一。但防火墻技術是一種被動的防御技術,對于來自內部的非法訪問難以有效控制。
2.3入侵檢測技術
入侵監測系統處于防火墻之后對網絡進行實時監測,是防火墻之后的第二道安全閘門。它是對防火墻的合理補充,幫助系統對付網絡攻擊,提高信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為或遭到攻擊的跡象。該系統在不影響網絡性能的情況下能對網絡進行檢測,提供對內部攻擊、外部攻擊和錯誤操作的實時保護,從而防止和減輕網絡威脅。
2.4有“備”無患
有“備”無患就是網絡安全工作中的重中之重。這里說的“備”就是數據的備份。圖書館信息網絡系統中的有關數據,是圖書館進行網絡信息化服務的物質基礎,是圖書館的優秀資源。為了保證這些數據的安全,使系統受到意外破壞時能很快恢復工作,定期做好數據備份工作顯得尤為重要。
作者:皮彬 單位:萍鄉市圖書館
1電子商務環境下的會計信息安全問題
1.1網絡安全風險
互聯網作為一個開放的環境,其各種服務器數據庫中的信息在理論上也屬于對外開放的,訪問者可以對信息進行查看。因此,網絡會計信息系統難以阻擋非法訪問者的侵擾和攻擊,尤其是在系統程序出現問題導致系統存在安全漏洞并且管理人員未察覺時,使得服務器上的會計信息資源遭到竊取或篡改。此種情況的發生可能源于系統外部,也可能源于系統本身。一旦問題發生,企業將遭受難以估量的損失。
1.2無紙化的申報和扣稅帶來稅務稽查問題
電子貨幣及電子發票的出現為實現網絡交易電子化提供了條件,在電商迅猛發展的情況下,納稅人手工上門申報方式已經不能跟上電子商務發展的步伐,同時產生了電子稅收問題,即如何保證納稅單位遵守相關規定按時進行網上申報。而稅務稽查的前提是掌握確切的應稅會計信息,因此,會計信息安全問題會引發稅務稽查問題。
1.3追蹤審計困難
從審計工作的角度看,由于數據主要儲存在電子商務系統中,而電子商務系統無法避免數據錯誤處理情況的發生,這為部分工作人員利用職務之便謀取私利或者為減少企業納稅創造了條件,導致后期審計十分困難。此外,會計信息系統在進行前期設計時未考慮審計工作的需要,沒有為審計提供證據,因此,無紙化的電子商務環境加大了對電子商務活動審計的難度,同時,各種會計信息憑證的可修改更是使得對電商的審計工作難度加大。
1.4相關的法律法規配套不完善
隨著電子商務的進一步發展,公司的虛擬化程度越來越高,其規模也越來越小,人力資源與知識產權等是現階段公司收益的主要來源,會計報告中會涉及知識產權、商譽等內容及其經濟價值。在我國,電子商務活動的相關法律法規尚不健全,難以解決電子商務會計活動中出現的問題,這為會計信息安全增加了風險。
1.5現行財務會計軟件不成熟帶來的會計信息安全風險
在當前市場上有各種財務軟件,雖然其在一定程度上滿足電子商務會計發展的需要,但仍難以真正確保電商會計信息安全。現有的財務軟件存在適應性差、應變能力弱等問題,不能適應電子商務發展所需,或者在某種程度上會加大風險系數。因此,電子商務會計軟件開發技術的不成熟成為制約電子商務會計發展的主要因素。因為會計信息是企業管理的重要依據,電子商務企業需要利用電子商務網絡進行會計信息的收集等活動,如何利用電子商務安全技術對會計信息進行加密操作,以確保會計信息安全性和準確性,是企業開展電子商務面臨的主要難題。
2電子商務環境下的會計信息系統安全策略研究
2.1提高網絡安全性的具體方法
(1)保證會計信息原始數據的完整和準確。
會計信息原始信息的完整性是應對企業會計信息系統突發事件的前提保證,因此,保證會計信息原始數據的安全極為重要,假使會計信息的原始數據遭到篡改,會造成數據信息虛假或有誤,然而會計信息系統本身并不具備對數據的鑒別能力,導致會計信息失真,從而引發電商企業的財務會計問題。因此,如何保證原始會計數據的準確性及完整性,是保證會計信息安全的重要前提。
(2)保證信息處理安全。
良好的數據處理能力體現了會計信息系統的優勢,財務系統處理的業務均直接涉及企業的利益,其敏感性和機密性顯而易見,在數據處理時,必須保證數據的完整。因此,在數據處理期間,會計信息系統網絡必須對外封閉,內部網絡的使用必須在可監控的環境下進行,不能與外界網絡終端連接,而且不能與其他無關的部門共享網絡資源。封閉是相對的,為了提高企業的辦公效率,內部財務信息系統可實現資源共享,需要強調的一點是,網絡資源的處理必須包括加密操作。
(3)保證信息儲存的安全。
會計信息系統面臨的主要威脅來自黑客入侵與計算機病毒,操作人員在進行數據存儲時需要加倍注意,建立一套科學的、系統的數據存儲管理機制。
2.2妥善處理無紙化交易的稅務稽查問題
電商時代的無紙化交易形式淘汰了傳統的紙質發票,引發了電商企業與國家管理部門之間的矛盾,因此,如何保證數據的完整性是一項頗為重要的工作。為了使會計憑證得到保證,即保證數據的真實性,參與交易的雙方可以通過選擇具有法律效應的認證途徑比如認證中心,證實網上交易雙方的真實身份。同時,企業可以借助各種會計憑證的鑒別對參與客戶的付款能力進行判定,比如每一家企業都在銀行或者互聯網認證中心簽訂協議,領取本企業的數字簽名等具有驗證功能的符號或代碼,而當業務發生時,交易雙方可通過相應的驗證符號或代碼進行交易活動,這樣既驗證了交易雙方的身份,也保證了交易活動的真實性,使得財務數據有據可查。
2.3解決追蹤審計困難的具體方案
在傳統的會計處理過程中,會計憑證中都包含有具有法律效應的證據,比如負責人簽名等。那么,在電子商務環境下,可以應用電子技術進行電子簽名,比如現在應用最廣的數字簽名技術。首先,發送方將附有個人信息的交易數據通過計算機系統傳遞給另一方,而接受方通過財務信息系統對電子數據報文等內容進行審核,然后,電子數據作為合法的業務數據存入會計信息系統,此時的數據為原始財務信息數據。此種非紙質版的簽名具有兩個方面的意義:①保證信息來源于交易者本人,倘若有后續問題出現,此份信息可作為憑證;②保證信息在交易者簽發至收到過程中的完整性,不存在被篡改的可能,所以,該信息是真實信息。由于數字簽名技術是一種加密技術,包含加密、解碼等操作,其復雜性為數據的真實性提供了保障。從某種程度而言,數字簽名可以取代手工簽名,其同樣受到法律的保護,這大大減小了審計的難度。
2.4完善相關法律
在與電子商務相關的法律法規的建設上,一方面,要加強立法,緊跟時代腳步,完善相關的法律法規,為電子商務發展法律保障。另一方面,要借鑒發達國家在電子商務信息安全建設上的成功經驗,結合中國的實際情況,對計算機網絡安全管理的法律進行修訂,以應對多變的市場環境,使其更符合電商時代的要求。
2.5更新改善相關會計軟件
在如今以電子技術為主導的市場環境下,軟件的后期更新管理工作不容忽視,尤其是電商企業,其財務信息已實現電子化,財會軟件的安全問題輕則造成企業的財務損失,重則危及企業的生存。本文認為,“微”規模的電商企業可與“微”規模的軟件企業進行合作,軟件企業為電商企業定期進行軟件維護工作,實現軟件的良好管理和更新,同時為電商企業定期進行系統審核,檢查電子商務系統的安全性,從而保證財會信息的安全。
3結語
總體而言,在電子商務環境下,會計信息的安全保密問題與網絡信息安全問題有相似之處,在其解決方案上,依據的主要原理基本相同,但是會計信息直接涉及企業利益,在企業的財務管理方面起著重要的作用,而且其與后期的財務審計等工作直接相關。由于會計信息的多種可利用性,而且在電子商務環境下產生的會計信息以非紙質的形式出現,使得法律對其監管存在一定的難度,因此,其安全問題的解決顯得極為重要。
作者:徐海含 田海霞 單位:佳木斯大學經濟管理學院
一、建立基于策略的動態安全管理模型的指導思想
(一)采用系統的思想
網絡安全的建設是一個系統工程,它需要對影響信息系統安全的各種因素進行綜合考慮,同時需要對信息系統運行的全過程進行綜合分析,實現預警、防護、恢復等網絡安全的全過程環節的無縫銜接;另一方面要充分考慮技術、管理、人員等影響網絡安全的主要因素,實現技術、管理、人員的協同作戰。
(二)強調風險管理
基于風險管理,體現預防控制為主的思想,強調全過程和動態控制,確保信息的保密性、完整性和可用性,保持系統運作的持續性。
(三)動態的安全管理
公安信息網絡安全模型中的“動態”網絡安全有兩個含義:一是整個網絡的安全目標是動態的,而不再是傳統的、一旦部署完畢就固定不變的,從而支持部分或者全網范圍內安全級別的動態調整;二是達到安全目標的手段、途徑必須能夠根據周邊/內部環境的變化進行動態調整。
二、基于策略的動態安全管理模型的定義
基于上述指導思想,建立基于策略的動態安全管理模型,主要包括四類要素:人員、管理、策略、流程(技術產品)。安全策略確定后,需要根據組織切實的安全需要,以上述定義的安全策略為基礎,將安全周期內各個階段的、反映不同安全需求的防護手段和實施方法以一種利于連動的、協同的方式組織起來,提高系統的安全性。總的指導原則是:第一,防護是基礎,是基本條件,它包含了對系統的靜態保護措施,是保護信息系統必須實現的部分。第二,檢測和預測是手段,是擴展條件,提供對系統的動態監測措施,是保護信息系統須擴展實現的部分。第三,響應是目標,是進行安全控制和緩解入侵威脅的期望結果,反應了系統的安全控制力度,是保護信息系統須優先實現的部分。這些不同的安全技術和產品按照統一的策略集成在一起,保持防護、監測、預警、恢復的動態過程的無縫銜接,并隨著環境的變化而進行適當的調整,這樣就能夠針對系統的薄弱環節有的放矢,有效防范,從而完善信息安全防護系統。
三、基于策略的動態安全管理模型的實施過程
在公安信息安全管理體系的建立、實施和改進的過程中引用PDCA(Plan-Do-Check-Act)模型,按照PDCA模型將信息安全管理體系分解成風險評估、安全設計與執行、安全管理和再評估四個子過程。組織通過持續的執行這些過程而使自身的信息安全水平得到不斷的提高。PDCA模型的主要過程如下:
(一)計劃(Plan)
計劃就是根據組織的業務目標與安全要求,在風險評估的基礎上,建立信息安全框架。包括下面三項主要工作:
1.明確安全目標,制定安全方針根據公安專用網絡信息安全需求及有關法律法規要求,制定信息安全方針、策略,通過風險評估建立控制目標與控制方式,包括公安系統工程必要的過程與持續性計劃。
2.定義信息安全管理的范圍信息安全管理范圍的確定需要重點確定信息安全管理的領域,公安信息安全管理部門需要根據公安系統工程的實際情況,在整個金盾工程規劃中或者各業務部門構架信息安全管理框架。
3.明確管理職責成立相應的安全管理職能部門,明確管理職責,同時要對所有相關人員進行信息安全策略的培訓,對信息安全負有特殊責任的人員要進行特殊的培訓,以使信息安全方針真正植根于所有公安干警的腦海并落實到實際工作中。
(二)實施(Do)
實施過程就是按照所選定的控制目標與方式進行信息安全控制,即安全管理職能部門按照公安信息安全管理策略、程序、規章等規定的要求進行信息安全管理實施。在實施過程中,以公安信息安全管理策略為優秀,監測、安全保護措施、風險評估、補救組成一個循環鏈,其中信息安全管理策略是保證整個安全系統能夠動態、自適應運行的優秀。
1.選擇安全策略根據公安業務目標、公安信息安全管理目標、公安信息安全管理指導方針選擇或制定信息安全策略。
2.部署安全策略對于高層策略,在此階段,首先應將各種全局的高層策略規范編譯成低級(基本)策略。根據底層的服務或是應用的要求將策略編譯成執行組件可以理解的形式,針對特定類型的策略實施封裝具體實施策略所需的行為,封裝執行策略所必需的實現代碼,這些代碼與底層實現有關。將策略分發并載入到相應的策略實施中,繼而可以對策略對象執行啟用、禁用、卸載等策略操作。
3.執行安全策略(1)監測。對公安信息系統進行安全保護以后并不能完全消除信息安全風險,所以要定期地監控整個信息系統以發現不正常的活動。(2)進行信息安全風險評估。風險評估主要對公安信息安全管理范圍內的數據信息進行鑒定和估價,然后對數據信息面對的各種威脅進行評估,同時對已存在的或規劃的安全管理措施進行鑒定。(3)公安信息安全風險處置。根據風險評估的結果進行相應的風險處置,公安信息安全風險處置措施主要包括降低風險、避免風險、轉嫁風險、接受風險等,使得公安業務可以正常進行,并重新進行風險分析與評估,增加或更改原有的信息安全保護措施。在公安信息系統正常運行時,要定期地對系統進行備份。(4)根據公安信息安全策略調整控制安全措施。由于信息安全是一個動態的系統工程,安全管理職能部門應實時對選擇的管理目標和管理措施加以校驗和調整,以適應變化了的情況,使公安系統數據資源得到有效、經濟、合理的保護。
(三)檢查(Check)
檢查就是根據安全目標、安全標準,審查變化中環境的風險水平,執行內部信息安全管理體系審計,報告安全管理的有效性,在實踐中檢查制定的安全目標是否合適、安全策略和控制手段是否能夠保證安全目標的實現,系統還有哪些漏洞。
(四)改進(Action)
改進就是對信息安全管理體系實行改進,以適應環境的變化。改進內容包括三部分:一是系統的安全目標、安全指導思想、安全管理制度、安全策略。二是安全技術手段的改進。隨著安全技術和安全產品的改進,系統的安全技術手段也要不定期地更換。但更換后的安全技術手段仍然要遵循相應的信息安全策略。三是對人員的改進。安全管理措施和手段改進后,要對民警要進行安全教育與培訓,并根據民警的不同角色為其制定不同的安全職責和年度信息安全計劃,并按照計劃進行工作,年底時要對安全計劃的執行情況進行檢查。
四、結束語
基于策略的動態安全管理模型由人員、管理、策略、流程四部分組成。與原有的信息安全管理模型相比,新的信息安全管理模型體現了全過程管理、全要素管理、風險管理和動態管理的信息安全管理原則。實現了預警、防護、恢復等網絡安全的全過程環節的無縫銜接;實現了技術、管理、人員的協同作戰;同時,信息安全策略的制定和安全保護措施的選擇建立在風險評估的基礎上,能及時適應信息環境和信息技術的變化,并對信息安全目標、安全策略和安全保護措施進行改善。公安信息安全管理策略在模型中的作用主要體現在兩個方面:首先是“承上啟下”。安全管理策略位于管理層和技術實施層之間,在落實管理人員和管理層制定的安全目標、安全指導方針、安全策略和制度時,先將這些抽象的內容轉化為安全策略組合,再由具體的安全策略指導各種安全技術產品的工作。其次是“融合作用”。通過安全管理策略,把孤立的、分散在安全管理各個階段的安全技術、安全產品有機地融合起來,形成一整套完整的安全系統,使公安信息系統安全的功能真正發揮出來。
作者:崔麗霜 單位:河北公安警察職業學院
1基于信息安全的電子商務安全課程內容
信息安全和計算機網絡安全的安全需求主要包括完整性、保密性、一致性、真實性和不可否認性。在電子商務實際應用中主要包括如何防范商業企業機密泄露及個人信息的泄露等問題。電子商務系統必須基于信息安全基礎上并達到電子商務安全的要求的網絡商務系統。必須有計算機網絡安全,才能保證電子商務最低層的信息服務,計算機網絡層是用戶將信息傳輸到上層的基礎及用戶與計算機網絡接入的基本交互式服務手段。網絡服務層必須有相關安全機制,如:入侵檢測、安全掃描、防火墻等來保證計算機網絡的安全。另外,為了在應用層電子商務系統使用安全,必須利用網絡加密技術和數字認證技術和電子商務安全協議,即構建安全的電子交易數據體系結構。其中,電子商務安全協議是加密技術和安全認證的綜合運用和完善。電子商務應用系統應具有較高的安全性能指標,用戶對所信賴的電子商務安全肯定具有很高的可靠性和可用性。在人才培養是就需考慮建立一個完善的基于信息安全優秀能力提升的人才培養模式,形成一個電子商務安全知識體系,在考慮如何達到課程目標的同時也要考慮如何滿足電子商務應用人才的實際需求。在信息安全基礎上電子商務的安全內容主要包括計算機網絡服務層、技術加密層、身份認證技術層、電子商務安全層、安全應用層。其中,上層主要以下層為基礎的服務,同時下層為上層提供技術支持,整個內容之間相互關聯的整體,并且在不同的信息安全技術控制下實現電子商務的安全模式。
2電子商務安全教學方法改革
目前電子商務安全課程在教學過程中,學生對教材的知識缺乏主動理解和接受,學習的興趣和主動性不高。因此要對現有以教學大綱為主要目標的方法進行改革,能讓學生融會貫通理論知識,主動思考問題,具有理解分析解決實際問題能力。本文提出電子商務安全課程在課堂講授的進行:教師準備階段,學生準備階段,小組討論階段、集中討論階段和總結階段。主要目的是使老師和學生在課堂上有較大的自我發揮空間。在教學法的五個階段中,教師準備階段和學生預備階段是教學法中最為關鍵的環節。教師準備階段:教師準備是教學的第一環節,也是為明確教學目而準備,是有序進行教學組織與設計的基礎。明確教學目標后,就應選擇合適教學背景,教學背景應且具有高啟發性素材,并且滿足教學目標切合實際的教學案例。對選擇的教學案例或素材還需要對及進行典型化處理,最后準備在課堂上提出讓學生思考的問題,引導介紹學生學習相關資料。學生預備階段:課前讓學生閱讀典型化處理相關學習資料,老師指導學生查閱相關學習資料,讓學生課前主動準備課堂講授知識的信息,對老師提出的思考問題要求學生獨立思考并形成初步的解決方法。小組討論階段:首先根據學生人數將學生分為3到5人小組,然后在小組范圍內自行組織討論,再確定小組成員的任務分工,最后形成小組在課堂上展示方案。課堂展示階段:在時間控制在半個課時以內前提條件下各小組派代表對問題解決方案進行展示,其他小組對解決方法進行互動式提問和回答,這個過程需要教師加以正確引導。老師總結階段:老師總結出意見比較集中的問題,針對重點問題組織大家集中討論,并提出引導性建議擴展深化學生對有疑慮問題的理解。
3電子商務安全課程實踐
傳統的電子商務安全課程教學是以理論知識為中心的教育體系,對實踐操作課程和技能的要求不高,很可能會導致學生在畢業后難以適應工作的要求,在現行教育模式中,用人單位也很難選擇到合格的專業技術人才。為此,本課題對信息安全專業開設的電子商務安全課程特點及開發合適的教學模式,尤其是如何建立創新性實踐教學體系進行了研究,以教學目標為指導、以社會需求為導向,開發以學生就業為宗旨的高技能型人才培養模式,根據電子商務安全課程特點,將信息安全未來發展的創新技術運用到電子商務安全教學方法中,建立較為全面的以人才培養目標為基礎的創新環境和教學模式。另外,本課程實踐教學內容的要求是讓學生對電子商務安全和信息安全的理論和實踐聯系建立一個全面的知識結構。通過實踐環節設置,讓學生了解電子商務安全加密技術及使用技能;了解電子商務郵件和數字簽名的聯系及作用;熟練掌握電子商務安全協議的設置;掌握PKI的應用及數字證書的申請、安裝和使用流程;熟悉基本的電子支付工具的使用。本課程的為實現實踐培養目標對實驗教學進行合理的安排。
4結論
本文充分考慮了信息安全專業人才培養目標、崗位需求和前后續課程的銜接,以必需夠用為度,統籌考慮和選取電子商務安全教學內容。以教、學、做相結合,強化學生能力培養,合理設計課堂教學、實訓、練習等關鍵環節。以理論為引導,重點針對“怎么解決問題”為目標,做到深入淺出,讓學生能夠具有針對性地學習和掌握解決問題的能力。電子商務安全的相關知識涉及信息加密/解密、認證技術、網絡安全協議、防火墻的構建、黑客病毒的防治等范圍相當廣泛的問題,需要我們構建一個合理的課程教學體系結構。
作者:唐德權 單位:湖南警察學院信息技術網監系
1基于信息安全技術的集成框架
基于PKI/CA技術的跨行業集成框架按照分層的思想進行設計,利用了PKI/CA技術作為數據傳輸的安全保障,利用消息中間件作為數據傳輸的通道,屏蔽各方系統的異構性,從而將跨部門、跨行業的信息系統進行集成。從技術上看,系統集成后,各方系統將是對等部署結構。從單方來看,該框架結構可分為與內部系統接口、電子憑證庫系統、電子印章系統、時間戳系統、PKI/CA基礎設施、直達通道、收發系統7個部分。
1.1PKI/CA基礎設施
以數字證書為優秀的PKI/CA技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證,從而保證:信息除發送方和接收方外不被其他人竊取;信息在傳輸過程中不被篡改;接收方能夠通過數字證書來確認發送方的身份;發送方對于自己的信息不能抵賴。
1.2與內部系統接口
一方面主要負責將業務系統中存儲的業務數據、電子印章等按照預先確定的規范組成相應的xml電子報文,再傳入電子憑證庫系統;另一方面,從電子憑證庫系統中接收對方傳入的xml格式報文,解密后傳入內部系統。此外,還可實現直接與收發系統連接,實現不需要安全保障機制的普通查詢等業務,以提高數據交換效率。
1.3電子憑證庫系統
電子憑證庫系統可形象描述為現實中存放文件的“鐵皮柜”,是整個集成框架的優秀部分。包括電子憑證模板管理、傳輸隊列路由管理、安全管理、憑證管理等4大功能。憑證模板管理模塊按照雙方的約定,設計傳輸憑證的樣式以及具體的簽章個數及位置;傳輸隊列路由管理模塊用來記錄憑證傳出的去向和接收的來源;安全管理模塊用來控制使用電子憑證庫系統的范圍,避免未經允許的用戶使用電子憑證庫,此外還包括預留印鑒的校對、詳細記錄各種日志信息,實現對憑證操作的可追溯等功能;憑證管理模塊用來實現電子憑證收發、作廢、恢復、查詢、打印、狀態監控、歸檔等功能。
1.4電子印章系統
電子印章系統可形象描述為現實中存放大紅印章的保險柜。其功能包括公章管理、私章管理及印章備案管理。在實現上,將CA證書與電子印章圖片進行綁定,從而保證某個印章圖片與具體的CA證書有關。
1.5時間戳系統
時間戳系統基于PKI技術,對外提供精確可信的時間戳服務。它采用精確的時間源、高強度高標準的安全機制,以確認系統處理數據在某一時間的存在性和相關操作的相對時間順序,為信息系統中的時間防抵賴提供基礎服務。
1.6直達通道用于實時性強的數據傳輸處理。例如某些查詢服務,可通過明文進行系統間數據傳輸。
1.7基于消息中間件的收發系統
充分利用消息中間件高效可靠的消息傳遞機制進行平臺無關的數據交流,并基于數據通信來進行分布式系統的集成。通過提供消息傳遞和消息排隊模型,實現跨行業系統間電子憑證信息的發送和接收,發送者將消息發送給消息服務器,消息服務器將消息存放在若干隊列中,在合適的時候再將消息轉發給接收者。消息中間件能在不同平臺之間通信,它常被用來屏蔽掉各種平臺及協議之間的特性,實現應用程序之間的協同操作。
2基于PKI/CA技術的集成框架實現
在集成多個異構系統時,首先需要各方商定交換憑證的格式,即交換報文規范。其次,要規范電子憑證格式、電子印章格式,可以互聯互通。第三,要規范電子憑證庫系統、電子印章系統等軟件服務系統的服務接口,為各方異構系統提供交換服務。第四,各方要改造已有系統,使其與集成框架進行對接。下面就最重要的報文規范和各方系統改造方案進行說明。
2.1規范交換報文
雙方之間數據交換標準需要進行嚴格的約定,需要制定標準報文規范以實現雙方或多方系統互聯互通。報文分報文頭和報文體兩部分:報文頭是交換各方進行數據交換的相關信息,主要是為電子憑證在消息中間件上按照消息傳輸時增加的頭信息;報文體包括電子憑證數量和電子憑證信息兩個部分。電子憑證數量用于描述報文中所包含的電子憑證的筆數,電子憑證信息可包括一筆或多筆電子憑證,每筆憑證由憑證狀態、附加信息、業務憑證原文、簽名信息以及簽章信息5個部分組成。
2.2實現步驟
業務系統產生憑證,加蓋印章之后,需要存放入憑證庫,并通過收發通道發送給接收方,具體實現步驟如下:
(1)甲方業務系統調用內部系統服務接口生成憑證原文,憑證格式參照2.1小節。
(2)甲方業務系統通過內部服務接口調用電子憑證服務系統接口對憑證進行簽章。
(3)甲方電子憑證庫系統調用電子印章系統接口加蓋電子印章。首先對憑證已經存在的簽章進行校驗,如果存在原文纂改,則直接返回錯誤;校驗通過后,再對憑證進行簽章。其原理本地取出已燒入UsbKey的印章圖片的Hash摘要送入電子印章系統驗章,驗章通過后調用時間戳服務系統接口加蓋時間戳,然后將憑證原文的Hash摘要和帶時間戳的電子印章Hash摘要送入UsbKey中進行私鑰簽名。
(4)甲方內部服務接口通過電子憑證庫系統調用收發通道的發送接口,利用數字信封技術發送到接收方(乙方)。
(5)乙方系統進行接收、解開數字信封、驗章、校驗業務數據一系列操作后將憑證回單,回單時也要進行電子簽章等一系列操作。
(6)甲方電子憑證庫系統定時從收發通道中讀取數據,并進行打開數字信封、解密、驗章等操作,通過驗證之后,放入甲方的電子憑證庫中。
(7)甲方業務系統接口定期從憑證庫中查詢憑證回單,通過一些業務邏輯驗證之后,存放入甲方業務系統的數據庫中。
(8)甲方業務系統客戶端調用刷新界面來查看已回單的業務數據,并調用電子憑證系統接口打印電子憑證。
3實例和應用效果
本研究成果已應用于河北省預算單位、財政廳、河北省內絕大多數商業銀行和中國人民銀行石家莊中心支行系統間的銜接,實現預算審批、資金申請、電子支付、清算等事項。財政廳使用的政府財政管理信息系統主要用于預算填制、審批。人行使用的Tips系統主要用于資金清算。商業銀行系統主要用于資金的支付。由于所屬不同的責任主體,各方系統不可能重新開發為一套業務系統,原來采用信息流輔助業務控制的辦法進行信息系統整合,即信息可通過一定辦法進行交換,業務上通過紙質憑證加蓋公章,再由人工傳遞到相關單位進行紙質憑證核對。通過引入基于PKI基礎設施的系統集成模型,將三方系統從預算審批到資金支付,再到資金清算的全鏈條貫通,完全實現了信息流、業務流的自動化運轉,大大提高了業務辦公安全性、資金支付效率,壓縮了行政辦公成本。僅省本級財政部門本身就可節約紙張100萬張/年,并減少了公車傳遞紙質憑證、人工蓋章、驗章所需時間,更重要的是由于引入了電子簽名技術,杜絕了“蘿卜章”,資金支付的安全性得到了有效保障。
4結語
目前我國還沒有標準統一的電子憑證報文規范、電子印章結構規范。如果在國家層面制定有關標準后,基于這一模型不同廠商的電子憑證庫系統、電子印章系統將可實現互連互通,將更加方便跨部門、跨行業系統的整合。通過將PKI/CA技術、電子憑證庫系統、電子印章系統、消息中間件系統引入系統整合模型,可對已有的遺留系統進行整合,為系統整合提供一個靈活、開放、安全的技術方案。隨著我國信息化建設的深入發展和行業整合的加劇,該框架必將有廣闊的發展空間。
作者:王連澤 單位:河北省財政廳信息中心
一、美國國家安全的發展及網絡時代信息安全之源起
國家安全是國家調控機制中一個重要因素,具有舉足輕重的地位和作用。“國家安全”也是一個歷史的和發展的概念,其內涵依據一個國家所處時代的不同而發展演變。時至今日,“國家安全”早已由狹義上的強調國家不受外敵入侵的軍事安全擴展為一個廣義的內容豐富的大體系。其內涵是一個由關系到國家與社會穩定和發展的各種國內外因素共同構成的動態系統。國家安全政策的主要內容,是盡可能對不利于國家穩定和發展的各種國內外因素進行調控,實現國家的安定和預定的國家目標。代表國家的政治實體(政權和政治制度)為了在不斷變化的環境中生存和發展,必須在滿足現代國家特定的內外需求的同時,符合一定的國際行為規范。對外政策是政治實體試圖適應或控制外部環境對內部影響的一系列行動方針或原則,對外政策能否奏效,取決于不同國家在國內治理和對外關系方面發揮效用的能力。從調控和治理之角度來說,國家對外政策是從屬于國家安全戰略的。在美國實現現代化及走向強國和超級強國的發展過程中,一個顯著的特點是在國家安全的名義下,大力發展高科技,而且首先用于軍事。軍事科技又帶動了高科技,進而帶動了整個經濟的發展。科學技術的不斷創新是美國軍事力量和經濟實力迅速發展的重要因素,對保障其經濟繁榮和國家安全發揮了至關重要的作用。美國戰后不斷提高科研經費在財政預算中的比例,持續把龐大的人力、物力和財力用于發展軍事工業。從戰后到20世紀70年代末,科研投入的比例一直雄居世界第一。70年代后繼續大幅度增加。國防在美國的研發費用中占很大比重。戰后美國幾項關鍵性發明,如電子計算機、衛星通信、微電子處理器等,均直接產自于軍事研究。即使是在冷戰時期,“遏制戰略”之父喬治?凱南也認為冷戰競爭主要是在各自內部,即“看誰在解決自己的特殊問題時干得最成功”,而不是靠軍事手段。美國經濟學家約翰?加爾布雷斯則更加明確地指出,西方國家的命運“完全取決于其發展自己生產力的能力”。美國政府推動信息技術的發展,制定國家信息安全戰略,并在不同階段根據內外情況變化進行調整,很大程度亦是因循了上述系統治國理念。20世紀50年代后期至70年代,美國政府為了在冷戰中占據主動,圍繞“國家安全”進行國內外戰略設計與調控,大力支持發展信息技術,資助并主導了互聯網的誕生與發展。1957年蘇聯世界上第一顆人造衛星上天后,艾森豪威爾總統先后簽署了兩個公共法案,美國國防部高級研究計劃署(DARPA)和美國國家航空航天局(NASA)得以創建。這些部門的建立和相關科研預算經費的投入,有力地推動了軍事安全信息技術的創新發展。1962年,美國國防部設想建立一種能夠保證美國國內外防衛力量在遭到蘇聯第一次核打擊后仍具有生存和反擊能力的指揮系統。隨之,計算機專家提出了計算機“網絡”的概念。1971年,高級研究計劃署資助了一個項目———高級研究計劃局網絡,把接受其補助金的大學的電腦在全國聯網,實現了計算機“網絡”這一設想。為了對該網絡雛形進行統一技術管理,美國國防部于1974年主導建立了TCP(傳輸控制協議)和IP(因特網協議)(后合稱為TCP/IP協議)。同年,美國國防部將TCP/IP協議公開,向全世界無條件地免費提供解決電腦網絡之間通信的優秀技術。五角大樓如此慷慨地向全球提供互聯網技術和相關管理協議,其背后自有其深遠的、頗具戰略意義的謀慮。在當時的歷史背景下,該互聯網絡是一套有明確假想敵的軍事指揮系統,其指揮乃至控制功能需要與內外部環境進行信息交換方能體現(亦即“知己知彼”)。另外,其他國家一旦應用此套技術并采納其管理規范,就會在虛擬空間產生對“美國制造”網絡的需求和依賴,這反過來又推動美國政府進一步放開互聯網技術,從軍用推廣至民用,促進經濟利益不斷擴大。從歷史根源的角度來看,自電子計算機互聯技術誕生之日起,其應用和推廣過程中存在的信息安全問題就相伴而生。但美國國家信息安全作為一種系統思想和戰略,是從20世紀90年代初逐漸形成和發展起來的。它在政策實踐上以國內為重點,國內、國外并舉,圍繞內部穩定和發展與維系全球事務主導地位之戰略目標,在國內安全得到保障的基礎上,根據不同時期的內外環境特點,制定和適時調整對外政策。
二、網絡時代美國信息安全戰略之發展
信息安全在美國的國家安全和對外政策中開始上升到戰略的高度是在克林頓執政時期。克林頓政府以綜合發展和綜合治理相結合的理念為基礎,將政治、軍事、經濟、文化、社會等領域有機融合起來,對產業結構進行調整,一方面大力推進信息技術在相關領域的研發;另一方面一步步構建信息安全領域的國家戰略。20世紀90年代初,蘇聯解體、冷戰結束后,美國在國外失去了最大的政治軍事戰略競爭對手,國內則面臨經濟增長乏力等問題,同時還要應付來自于歐洲和日本日趨激烈的經濟競爭。此時上臺的克林頓政府為應對這些新的挑戰,提出國家安全戰略三要點:以軍事能力維護美國安全;重振美國經濟;在國外推行“民主”。其中,“經濟安全”是優秀。克林頓政府根據國際局勢的變化對軍事力量進行了結構性調整,繼續加大研發以信息技術為支撐的尖端武器的力度,提高軍事人員的素質。與此同時,開始著手信息安全領域的相關部署。1993年,美國政府提出興建“國家信息基礎設施”,即“信息高速公路構想”,對產業結構進行了調整,大力發展信息產業,同時加快用高新技術對傳統制造業進行改造。產業結構的變化和信息產業的飛速發展帶動了金融和股票市場的繁榮,使美國經濟出現了有史以來不間斷增長時間最長的時期。到了90年代后期,構建網絡空間安全即為保護國家信息安全的戰略思想被正式采納,成為美國政府政策,信息安全的概念隨之產生,然后納入美國國家安全戰略體系。由此,網絡時代美國國家安全戰略框架下的信息安全政策就產生了。1998年5月,克林頓頒布第63號總統令———《克林頓政府對關鍵基礎設施保護的政策》,首次提出了“信息安全”的概念和意義。該文件開宗明義“:美國擁有世界上最強大的軍事力量和經濟力量,這兩種力量相互促進相互依賴,但是也越來越依賴某些關鍵設施和以網絡為基礎的信息系統。”在2000年12月克林頓簽署的《全球化時代的國家安全戰略》文件中,“信息安全”被囊括了進來。這標志著新的歷史背景下,信息安全正式成為了美國國家安全戰略框架的重要組成部分。在對外關系上,克林頓政府堅持一切以實現國家安全戰略要點為根本的政策。而在利用信息技術優勢實現經濟安全戰略目標方面,克林頓對外政策的第一大特點,是把計算機網絡作為對外貿易政策的一個重要組成部分。美國在因特網上的商業活動占得先機。1997年,通過因特網上進行的76億美元商品交易中,美國就占了9/10;美國企業占了全世界網址的70%,占網上總收入的93%。正是基于對全球互聯網貿易巨大潛力的認識,1997年7月,克林頓政府公布了網絡貿易戰略報告《全球網絡貿易框架》,強烈要求宣布互聯網絡為全球自由貿易區,發展技術并制訂行為準則。美國政府的目標是盡可能充分地利用自身優勢,把它研制的互聯網技術標準和制定的內部行為準則推廣到全世界,把美國的標準作為全球的標準固定下來,從而在全球虛擬空間貿易競爭中占據主導地位。由此可見,在對外關系方面,發展全球網絡貿易并主導國際規則的制定,已成為美國政府維護國家經濟安全的一項重要內容。在外交事務方面,克林頓政府的政策之顯著特點是推行新霸權主義,大打“人權牌”,以圖將美國的人權觀和價值觀推向全世界,這是克林頓政府安全戰略對外部分的優秀之一。其中,通過利用網絡信息技術進行美國精英治理價值觀推廣是非常重要的。為了在世界上推行美國的國際規則,克林頓很注意使用“軟”的一手。他上臺伊始即把在國外推動民主和人權作為其外交政策的第三支柱。他提出的冷戰后美國對外關系新戰略的內容之一便是“幫助”社會主義國家“擴大民主和市場經濟”,極力通過外交手段繼續在國際社會中推廣美國的價值觀。克林頓政府為美國留下的最大一筆外交“遺產”,當屬以“新干涉主義”“克林頓主義”等著名的一套“軟”“硬”并重的“理論”。克林頓拋出的這套“人權高于主權”的“理論”,便是美國選擇的修改現行國際規則的突破口。而全球推廣互聯網技術,能相對低成本、高效率地幫助美國政府突破他國境外信息準入屏障,將自己的觀念即時傳播至當地民眾,對輿論造成影響。小布什2001年上臺后不久就爆發了“9?11”恐怖襲擊。在反恐戰爭的背景下,為保障美國國家信息安全,防止出現極端事件,美國政府進一步提高了對信息安全的重視程度,戰略思想從防御為主轉為攻防結合。2003年2月,美國公布了《國家網絡安全戰略》報告,提出建立美國國家網絡空間安全響應系統,正如有學者指出的,此系統可謂是一個國家—民間,公共—私人合作機制。奧巴馬2009年上臺后,從軍事安全角度,進一步強調網絡空間戰略的進攻能力和威懾性。同時,奧巴馬政府將互聯網信息安全作為美國外交政策突破國家主權的便捷途徑,對外推進國家利益以及推廣自身認可的價值觀。同年5月,奧巴馬總統批準公布了國家網絡安全評估報告:《網絡空間政策評估———保障可信和強健的信息和通信基礎設施》,指出“美國的經濟和安全利益都是以信息系統為基礎,……,政府需要綜合考慮各方競爭的利益,制定出一個全面設想和計劃,以解決美國面臨的網絡安全問題”;6月,美國創建了世界上第一個網絡戰司令部。2010年,白宮發表了《2010國家安全戰略》,保證將信息安全作為國家安全工作的重點。與克林頓時期相比,奧巴馬時期網絡安全戰略的特點是,網絡外溢效應凸顯,虛擬空間的傳播突破了傳統的國界線,同時也影響到了作為最初主導構建網絡內外空間的美國政府所要處理的內外問題。
三、信息安全在美國國家安全和對外政策中的作用日益重要
美國“國家安全”的優秀目標是主動避免自身關鍵利益受到傷害,在內外環境中,爭取最大程度的主導權。作為國家安全總體戰略的一個部分,美國的國家信息安全戰略也即為此目標服務。在當代,信息技術與國家安全的關系越來越密切。信息安全上升到國家安全戰略的高度后,在美國的對外政策中起了越來越重要的作用。主要體現在以下幾個方面。信息安全在美國的世界秩序構建中具有十分重要的地位。喬治?里卡斯對美國的世界秩序作了貼切的描述:“首先是盡可能擴大和鞏固生存空間,建立并鞏固一種更為廣泛的秩序,這種秩序在美國力量強大時是它自我表演的舞臺;在遇到失敗或力量相對衰落時是支持和復興的力量;即使美國最終衰敗時,也會“成為被人們銘記和仿效的楷模”。在網絡時代,美國政治精英們相信“信息就是權力”。美國政府推行的信息安全戰略是為美國國家安全戰略服務的有力工具。美國對外安全戰略總的要求是,防止敵對和不友好勢力對美國利益的損害,美國的中心目標是建立一個以它為主導的世界秩序,信息安全無疑成為成本低、效果顯,影響既廣泛又深遠的政策手段。第二次世界大戰后,美國的國內外政策相互影響,兩者之間的關系越來越密切。究其原因,主要是政府和國會動輒以“國家安全”對美國的內外政策加以詮釋。“世界秩序”則日益成為美國“國家安全”掩蓋下“霸權有理”的代名詞,它涵蓋了美國由企圖主宰世界到試圖主導世界的策略上的轉變過程。而信息安全則成為美國國家安全中日益重要的內容。 國際規則是規制世界秩序的大法。美國對其信息主導地位的維護對全球信息安全規則產生了重大影響。為了使其易于接受,美國對其信息安全戰略(政策)重新進行了詮釋,突出并強調該戰略中的“國際性”,極力詮釋其戰略目標及實現手段和規則制定之“道德性”,意圖在于通過“道德性”來掩蓋美國爭取國際網絡空間規則制定主導權以及相關利益的真實目的,通過“國際性”來印證其“道德性”。美國在實現手段和規則方面精心設計,力圖使其顯得在最大程度上符合全球化和人類安全問題的時代潮流。2011年美國政府出臺的第一份《網絡空間國際戰略》,首次明確將互聯網自由納入維護網絡安全政策體系之內,“將此項努力與二戰后建立經濟和軍事安全的全球框架相提并論”。從這份《網絡空間國際戰略》文件可以看出,信息技術在21世紀快速發展與全球普及,已經對國際秩序造成了深遠影響,美國作為國際社會霸主,意識到自己必須通過強調自身國家安全戰略的“國際性”與“道德性”來重新構建其世界影響力的合法性與合理性。網絡技術和信息安全對于提高美國的綜合國力起了巨大的推動作用。實力是一國制定外交政策的基本參考標準,信息技術的發展對美國綜合國力的進一步提高產生了深刻影響。美國從20世紀80年代末開始越來越重視“軟”力量的作用。其外交政策的一個顯著特點就是綜合使用或交替使用政治、經濟和文化意識形態手段。約瑟夫?奈認為,冷戰結束后,意識形態的沖突將讓位于更危險的各種文明之間的沖突,屬于不同文化范圍的各個民族的文明之間的沖突正是為了擴大自己的支配權;他還認為,在當今時代“,硬實力和軟實力同樣重要,但是在信息時代,軟實力正變得比以往更為突出”。基歐漢和奈在論述信息與權力的關系時指出:“信息和美國大眾文化的傳播增進了美國觀念和價值觀在全球的認知和開放”;“在21世紀,廣義的信息能力可能會成為最關鍵的權力資源”,“信息革命的最終影響是,改變政治進程,在軟、硬權力的關系中,軟權力比過去更為重要。”網絡外交的出現,使軟實力的重要性進一步提升。布什政府時期,美國的對外政策開始向利用綜合力量進行調控。克林頓上臺后更加重視“軟”力量,把美國式的民主和西方資本主義經濟作為普遍原理在全世界推廣。他在20世紀末向國會提交的《新世紀國家安全戰略》強調,美國必須致力于外交“,為防止沖突、促進民主、開放市場”等方面花的每一美元都肯定會在安全上得到回報。奧巴馬總統則更加主動地出擊,把《網絡空間國際戰略》稱為“美國第一次針對網絡空間制定全盤計劃”。不難看出,美國政府是要將信息技術優勢充分為己所用,營造有利于自身穩定與發展的外部環境,通過危機管理、推廣民主和市場開放來塑造信息化時代的全球價值觀,增強自身國際影響力,進而鞏固和提高國家實力。信息技術的發展對外交決策的影響越來越大。自上世紀末,美國產業結構就已經發生了重大變化,長期以來在產業結構中居于主導地位的鋼鐵、石油、化工等產業的地位逐漸下降,以半導體、微電子、計算機、軟件業為代表的信息技術產業迅速崛起。早在20世紀90年代,微軟、英特爾公司就已取代了美國三大汽車公司當年的地位,成為美國經濟保持持續增長的主要推動力。至今,信息產業已成為美國最大的產業,伴隨著這種變化,一批新的權勢人物也涌現出來,對美國的對外政策產生了重大影響。這批新的權勢人物擁有強大的經濟實力做后盾,將逐漸在美國的政治權力架構中扮演舉足輕重的角色。他們有能力通過參與或資助競選、游說國會、制造和影響輿論等方式影響美國內政外交的醞釀和制定。鑒于信息技術產業如今在美國經濟發展中所占據的重要地位,美國政府制定對外政策(尤其是經貿政策和知識產權問題)時勢必要考慮這一產業集團代表的利益與要求。
四、信息安全:美國國家安全和對外政策的“雙刃劍”
互聯網的發展促進了人類的生產力的提高,在政治、經濟、軍事等方面的積極作用毋庸置疑,但其“雙刃劍”的角色也不可否認。對于美國這樣的超級大國,現代網絡信息技術對其國家安全和外交活動的影響更是雙重的。主要體現在以下幾個方面。網絡安全遇到的威脅日益嚴重。計算機病毒利用現代計算機網絡技術進行傳播,對網絡信息系統進行攻擊和破壞,對外交信息安全造成了嚴重威脅。黑客攻擊是另一種破壞程序,可給外交人員及國家帶來嚴重影響,甚至威脅國家和地區的安全。近些年來,不單是美國,世界其他主要國家也將信息安全列為國家安全的重要威脅。如,俄羅斯在2000年9月把國家信息化建設作為其外交的一個重要組成部分。英國政府2010年10月公布的《國家安全戰略》將網絡戰列為英國今后面臨的“最嚴重威脅”之一。隨著全球化的發展,網絡已經直接影響到世界各國的政治、經濟和社會運轉,控制著世界信息流動和國際經濟命脈如何切實維護網絡安全,各國尚無萬全之策,美國也不例外。對西方價值觀,特別是人權觀的影響愈發明顯。批判理論家羅伯特?考克斯指出,社會結構是主體間互動的結果,是社會建構而成的。人類安全和人權問題越來越受重視。按照西方資本主義的意識形態和美國自己的文化價值觀去“規范”全世界,是美國國家安全戰略的一項重要內容,且占有越來越突出的位置。冷戰結束后,美國等西方國家把“捍衛西方價值觀”推到外交和國家安全的前臺。20世紀90年代以來成為西方一個重要政治理論“第三條道路”宣稱的對外政策的兩大實質,一是向全世界推廣西方的自由、民主、人權、法治等價值觀,二是推行“人權高于主權”“人權無國界”“主權有限”“主權過時論”等觀念。美國在“互聯網打上了美國價值觀的烙印”。但美國自身也是精英治理與個人自由之間矛盾著的混合體,一邊是現實,一邊是信仰及理想。“美國價值觀”在對外政策(人權問題、個人自由、道德觀)方面定調太高,看上去很美,但真正落實起來,困難很多。如屢屢發生的美國利用網絡信息技術對國內,特別是對別國機構和重要人物的竊聽丑聞,最有名的是斯諾登揭秘案例,就大大削弱了美國的“道德”影響力。正在逐漸削弱美國等西方國家的霸權地位。1999年,約瑟夫?奈在《信息革命與國際安全》一書中,把信息技術革命視為21世紀美國在國際事務中保持主導地位、發揮更大作用的一種重要“軟力量”。美國憑借其在信息技術和互聯網方面的優勢謀求全球信息化主導權,以獲取“信息霸權”來進一步鞏固和擴大其21世紀全球唯一超級大國的影響力,強化其“全球霸權”地位。迄今為止,以美國為首的少數西方發達國家在信息領域仍占有很大優勢,確立并保持著“信息霸權”。他們深信自身的政治主張和價值觀念具有優越性和普世價值,同時對政治體制和價值觀不同的國家心存偏見,在不完全了解這些國家(特別是廣大發展中國家)具體歷史和現實國情的情況下,干涉別國內政,制造民族間、國家間和不同宗教間的矛盾,招致了越來越多的不滿、嫉恨,為自己催生、培育了越來越多的對立面。一些宗教團體、政治黨派、極端組織等也通過各種信息傳輸手段傳播不利于、甚至反對美國等西方國家的各種主張。從國家層面來看,全球網絡信息空間主要的行為體仍是各個國家,在國際體系信息安全規范仍然缺位的情況下,各國均設法擴大本國網絡空間安全邊界來保障國家安全,由此產生的結果是合作與博弈并存。美國對此情況顯然已經有了一定程度的認識,但仍無法擺脫過于以自我為中心的價值判斷,白宮在2011年5的《網絡空間國際戰略:構建一個繁榮、安全和開放的網絡世界》,被解讀為既是“合作的邀請”又是“對抗的宣言”。長期以來美國等西方發達國家主導著互聯網治理的話語權,從標榜互聯網“開放、共享、無國界”到借“網絡自由”等抨擊其他國家的網絡安全治理。這些不可避免地引起了其他國家或機構層級的抵制乃至對立。總的來看,美國在信息領域正經歷從“霸權”到“王權”的轉變過程。對國際關系概念和公共外交帶來挑戰。伴隨著網絡信息技術的飛速發展和空間技術的應用,傳統的“國家主權“”領空”和“領土”等概念受到了一定程度的影響。利用高科技手段制造和傳播旨在削弱、顛覆他國政權的信息、刺探情報或進行洗錢等活動,給國家安全增添了新的防范問題。1965年“公共外交”概念被首次提出并得到運用,該外交策略試圖通過現代信息通訊等手段影響其他國家的公眾,以幫助外交政策的形成與推行。美國是“公共外交”的有力踐行者,白宮大力開展思想文化傳播,實施外交戰略,在網絡信息空間構建“公共外交”的實踐場域。但通過互聯網頻頻披露的美國政府之種種劣行,無疑也會損害美國的形象,侵蝕美國透過外交展現的“軟”實力和“巧”力量。此外,信息安全“雙刃劍”還體現在這些方面:(1)隨著網絡信息技術的深入發展,美國的國家安全正遭受著越來越大的非傳統威脅,對傳統國家政治治理模式造成了挑戰。(2)政府權威受到進一步挑戰,個人、企業、非政府組織、恐怖分子、社會運動等都成為影響國際政治的重要變量,削弱了美國及許多國家政府對本國事務的控制能力;國家外交政策的合法性在網絡上受到更多質疑的同時,政府對網絡輿情的管理更加困難,對外交議程的控制力也會相應減少,如美國國防部因無法合理解釋關塔那摩監獄的虐囚事件而在網上廣受詬病。(3)面臨更多的國內外問題。美國雖在建立其國際安全體系方面“成就”顯著,但用于“國家安全”上的開支增加迅猛,這固然刺激和帶動了經濟的發展,但同時也背負著過多的支出;它既可提高國家的安全系數,同時也增加了易受攻擊的“軟肋”。
五、結語
在過去的半個多世紀里,美國政治精英們為了維護國家內部的穩定和發展,鞏固和保持其國際超級強國地位,圍繞著“國家安全”進行內外戰略設計與調控,大力發展信息技術,資助并主導了全球化時代的互聯網之產生與發展。從上世紀90年代后期至今,美國政府已經構建了頗為完整的信息安全戰略,在其國家安全框架下,從政治、軍事、經濟和外交等多個方面統籌指導國家對外政策的制定與調整。總的說來,美國發展信息技術,將科技創新為己所用,迅速提高綜合國力和國際影響力的一條有效措施,是使國家信息安全與國家發展和國際地位之鞏固緊密有機地結合在一起。美國雖在建立自己的信息安全體系和實現國家安全戰略目標方面取得了顯著“成就”,但它自身在調控信息安全,主導對外政策的同時,也受到越來越多的內外因素之制約。從美國自身戰略設計的角度來看,尤其需要強調的是,國家信息安全作為支撐美國國家發展的一個龐大體系,涉及面非常之廣泛。在對外政策方面,由于國際環境的復雜與多元,加上與國內因素相互交織,任何一個部分出現誤判,都有可能使整個系統出現漏洞,使得其他部分和其他環節的工作化為烏有。若一味強勢追求自身“信息安全”,既有力不從心之虞,也會增加國際合作的難度,恐生過猶不及之憂。
作者:朱丹丹 單位:外交學院外交學與外事管理系
1信息安全技術在企業中的應用
近日,有媒體報道每年有數萬個境外IP地址作為木馬,參與控制了我國境內近千萬臺主機,如此龐大的數據讓我們觸目驚心。而最近眾多“泄密門”“后門”事件的發生,更讓我們看到企業的信息安全狀況不容樂觀。很多企業都意識到解決企業信息安全問題迫在眉睫,有的企業在大力加強企業信息安全體系的建設,針對信息安全設備進行全面檢查,并且做出了相應的措施。2005年中國昆侖工程公司信息管理部為保障數據安全曾對某重點專業部門的臺式電腦進行改造,全部升級為無盤工作站,拆除了所有個人用戶電腦中的硬盤,電腦系統以及所有數據都在數據中心的服務器中運行和存儲,從而保證數據的安全性,獲得較好效果,并且獲得省部級獎項。無盤工作站的工作方式就是在數據中心部署一臺服務器,這臺服務器作為系統搭建的平臺,個人終端通過網絡連接到服務器上。個人終端只有如主板、內存、電源等必備硬件卻沒有硬盤,網卡必須帶有可引導芯片。在無盤工作站啟動時網卡上的可引導芯片從系統服務器中取回所需數據供用戶使用。所以,無盤工作站其實就是把硬盤和主機分離,無盤工作站只執行操作不執行存儲,故不會對文件造成竊取或者遺失。由于無盤工作站不需要硬盤等存儲設備,減少了硬件的投入與維護,啟動和運行速度快,系統不被破壞、能自動還原、無需重裝系統。但是無盤工作站則完全依賴網絡和服務器的支持,一旦網絡或服務器中毒或因為某些原因無法運行,將會導致全網癱瘓。并且存在個人隱私得不到保障、服務器成本投入過高、對網絡質量要求高、占用過多網絡帶寬等缺點。
2文件加密技術在企業中的應用
為了避免企業局域網出現信息泄密,造成嚴重的損失。很多企業都對文件做出了嚴格的管理制度以及多種監控手段,其中對數據傳輸與載體的管控成為最廣泛最簡單的措施。近年來一直使用的包括無盤工作站,封鎖USB口,封鎖光驅,網絡控制等等方式都是以切斷數據傳輸以及管控數據載體為手段的技術辦法,但是這種物理隔絕的信息保護機制非常落后,“一刀切”的方式不僅改變了用戶操作習慣,還嚴重影響了非機密數據的傳輸,導致工作流程繁瑣。在這種情況下我們決定嘗試采取特定文件全自動加密技術,這種加密方式不會改變用戶的操作習慣,并且能夠做到強制性加密。當用戶打開或編輯指定文件時,系統將自動對未加密的文件進行加密,對已加密的文件自動解密。不需要對文件的傳輸做任何限制,也不用擔心文件通過任何方式被復制到別的地方。因為文件在任何載體上都是以密文的形式存在,只有在加密系統的硬件內存中是明文形式,所以一旦離開終端用戶的電腦系統,加密文件無法得到自動解密的服務而無法打開,起到保護文件的效果。全自動文件加密系統主要分為服務器端和客戶端,服務器端主要是記錄用戶資料、給用戶分配權限以及管理用戶文件的密鑰信息等。客戶端主要負責與服務器進行交互,對登錄系統的用戶進行身份認證、獲取文件加/解密密鑰及生成控制文件等,同時將客戶端處理的信息交給服務器。全自動文件加密系統能夠自動識別每一個登錄到局域網內部的用戶并進行身份驗證,只有具有權限的用戶才能操作文件。因為機密文件在電腦的硬盤上是以密文形式存在的,只有用戶擁有操作文件的權限才可以看到明文信息,否則將會是亂碼。該系統具有加密制定程序生成的文件、泄密控制、審批管理、離線文檔管理、外發文檔管理、用戶/鑒權管理、審計管理、自我保護等功能。2013年10月已在某專業設計部小網中部署了該文件加密系統并已使用,今年計劃在全網部署該系統。目前的加密策略為自動加密+全盤掃描,加密的文件類型為CAD,Word,PDF,Excel。即后臺掃描該電腦部署文檔機密系統前的所有歷史相關類型文件并進行強制自動加密,對于新文件,打開相關類型的文件也會自動加密,有效實現了公司數據的保密,增強了信息系統的數據安全性。
3結語
信息安全和知識產權專利技術保密對企業發展具有重要的激勵作用,有助于減少經營風險,增強企業競爭力。而企業也需認識到信息安全在當今社會發展中的重要作用,在謀求企業全面發展的同時重視知識產權保護,運用新技術保護企業的數據,減少信息系統的安全漏洞和隱患,加大對知識產權專利的保護力度,推動技術進步和企業的又好又快發展。
作者:施超 單位:中國昆侖工程公司
一、個人信息概念的界定
對于個人信息,解釋繁多。一般認為是可識別的所有本人信息的總和。1995年歐盟公布的《歐洲聯盟數據保護規章》定義:“個人信息是有關一個被識別或可識別的自然人(數據主體)的任何信息:可識別的自然人是指一個可以被證明,即可以直接或間接地,特別是通過對其身體的、生理的、經濟的、文化的或身份的一項或多項識別”。國頒布的《個人數據保護法》定義:個人信息是指可識別的、活著的個人的數據組合,包括數據控制者占有或可能占有的其他個人信息、任何關于該個人觀點的表述、數據控制者或與該個人有關的其他個人意圖的表述。我國學者楊立新認為:“個人信息是隱私權保護的內容,凡屬于個人的與公共利益無關的個人資訊、資料,包括計算機存儲的個人資料、域名、網名、電子郵件地址等都是個人信息。”在我國的公共范圍內對于個人信息大體范圍可以概述為可以直接或間接識別的本人的信息。其中能夠直接識別的個人信息是可以單獨識別的本人信息如姓名、肖像、身份證號、基因等;而那些與其他個人信息相結合才能被識別的信息則稱之為間接個人信息,如性別、愛好、生活習慣、興趣、學歷、職業、收入等等。我們日常所使用的個人信息的范圍為以上兩者的總和,這些信息包括了一個人從生理到心理、從個體到社會、從經濟到文化的方方面面,它涵蓋一個真正社會意義上的人所有的內在面與呈現面,包括了一個人的健康狀況、家庭結構、社會活動以及名譽等涉及人格權的事項并囊括了著作和財產等關涉財產權的事項。需要引起注意的是個人信息并不等同于個人信息本人所知的全部。無論是本人了解的還是不了解的,在我國個人信息法中都明確其為個人信息的范疇,如被網絡服務商非法收集的個人信息以及那些掌握在醫生手中的絕癥患者未知的醫療信息等等。在互聯網時代,當人們的日常生活高度依賴于網絡的時候,這些個人信息以個人數據的形式存載于計算機中,當大數據時代的到來,云計算等先進的信息共享技術的開發,使得存儲于虛擬網絡中的真實信息成了隨時可供提取查閱的“待宰羔羊”,這些涵蓋了個人隱私的相關信息的安全性也就變得岌岌可危,鑒于網絡的開放性與共享性,以及當前技術方面的某些漏洞,使得個人數據一旦進入互聯網就有可能在全球范圍內無限制的被轉載、復制、傳播,而在當前市場利益的驅使下,被某些人窺視到了個人信息中所蘊藏的巨大商業價值。個人信息的污染與破壞、被竊取與侵權等種種道德失范的行為使個人信息安全的問題成了當下“新技術時代”特殊的存在于虛擬世界卻對人們的現實生活產生深入影響的社會道德問題,也是倫理學發展到當下所應面對和亟待解決的學術問題。
二、個人信息安全道德失范行為的表現形式
當下我們所處的信息時代為人類信息的利用與傳播開啟了一個嶄新的模式,尤其是電子計算技術的普及與發展,網絡生活中的虛擬技術將網絡活動主體的個人信息數字化和符號化發展成為人們信息交往的實踐手段。這種模式極大地豐富了人們在網絡社會中的活動但與此同時負面效應也接踵而至,正如恩格斯曾預言的那樣,人類每進步一次就加大一步對自己的懲罰力度,我們在網絡共享這一平臺,可以接收到來自于世界各地的信息,但與此同時我們的個人信息也有可能被世界各地的任何人傳播或復制,信息的“販賣”、“丟失”“、陷阱”,等等失范行為,使我們在網絡生活的每一分一秒都如履薄冰。
(一)、信息“販賣”
進入當下的電子商務時代,很多社交網站、電子商務網站都采用“會員制”,用戶需要注冊會員后才能享受相關服務,而注冊會員需要填寫大量的個人信息,這寫個人信息關涉到個人的姓名、職業、收入、愛好、興趣、個人家庭狀況甚至于真實的身份證號就相當于在這個虛擬的網絡界面內注冊了一個真實身份,這些真實的信息存儲的網站數據庫中;此外為了得到更多便利的服務,很多用戶不得不將個人信息存儲于網站的數據庫中,比如電子商務網站,用戶將自己的信用卡號、住址、聯系電話等信息存儲在數據庫中,可以款素地完成交易。由于會員信息具有很好的商業價值,因此,很多網站以及網站的內部工作人員都覬覦這一塊的利益,有些網站甚至將販賣會員信息作為公司的主要收入來源之一。目前,由于網店、快遞公司等需要用戶填寫詳細的家庭住址、工作單位地址、固定電話、身份證號、信用卡號等高質量的個人信息,故而成為會員信息泄露的一個主要源頭。如淘寶網站就有通過一元秒殺活動,借機獵取個人信息,在當事人全不知情的情況下將這些具象的個人信息以低價批量出賣;在網絡的環境里人們缺乏明確的約束力,放縱了自己對于利益的盲目沖動,這也是一些潛在的道德異化進而外化的現實惡行。
(二)信息“丟失”
不僅網絡的“內部人”覬覦會員信息,社會上的一些黑客和黑客組織也對各大網站的會員信息抱有極大的興趣,想方設法通過網站服務器,竊取會員信息并販賣或用作其他用途。2011年底,中國知名的“天涯社區”1.7G的會員數據被黑客竊取,并被散播到互聯網上,這些會員資料包含4000萬天涯用戶的賬號、密碼、郵箱等信息,給用戶造成的損失無法估量。除了貢獻網站服務器之外,一些黑客也通過手工或專門的軟件破解特定用戶名和密碼,盜取用戶存在網站上的信息。更有甚者,有些黑客通過“釣魚”網站或發送有“木馬”的電子郵件,誘導用戶點擊后,將木馬或病毒植入用戶電腦中,竊取用戶電腦中的隱私信息,如各種賬號和密碼、聊天記錄、文件等,并將這些信息打包,悄悄地發送出去。2011上半年,共有1.21億中國網民的賬號或密碼被盜,占中國網民總數的24.9%。2012年,瑞星公司的《中國信息安全報告》中指出,我國共有超過7億網名被病毒感染過。這種運用技術竊取個人信息的失范行為給很多網絡用戶帶來了巨大的經濟利益的損失,甚至是私生活的曝光,造成當下眾網民在某些技術者的“迫害”下的當眾“裸奔”。
(三)信息“陷阱”
當下,有很多軟件廠商在其發售的軟件中內置竊取用戶信息的程序,如有網絡“小甜餅”之稱的軟件cookies,用戶安裝后,軟件就會將用戶的信息發送到軟件廠商的服務器上。在智能手機快速普及的今天,由于android系統安全門檻很低,因此,安裝android系統的智能手機成為個人信息泄露的“重災區”。比如,有一款名為“高德地圖”的導航軟件,就有竊取用戶登錄賬號、密碼等信息的“后門”,該軟件將竊取到的賬號、密碼等信息以明文的方式發送到高德地圖的服務商手中,以作他用。復旦大學計算機科學技術學院的研究團隊曾對某款主流智能手機的系統300余款應用軟件進行分析,發現58%的軟件存在泄露用戶隱私的風險。從網民儲存于電腦中、網站中、手機中的個人信息,每一種可以登錄網絡的電子設備都存在著無可規避的風險,種種道德失范行為的產生使網民在網絡活動中的所有社會性行為都顯得猶如刀尖上的行走,可這種種并非是技術發展的必然產物,而是在網絡時代,人性的一種惡性異化的表現,當下網絡環境中所呈現的這些道德負面現象真是倫理學多應研究并攻克的一道難題。
三、針對失范行為倫理層面的分析
當代的信息技術是一個特殊的統一體,它涵蓋了特定的知識體系和行動過程,一方面被當下的社會價值觀念所影響,又同時對社會價值觀念產生反作用。主體人這一概念在網絡社會中的喪失,使得數據鴻溝的不斷拉大,技術的工具理性與價值理性的斷裂,使人們在應用信息技術的同時不斷沉淪,沉淪于技術的工具性而喪失了主體的思維,超越了道德的禁忌,使得人們在網絡社會中的生活如同困于囹圄,人們逐漸迷失、在無意識的情況下漸被技術異化,技術之于倫理,倫理之于技術,兩者并軌而行才能完成人類于當下社會更健康的發展。
(一)網絡活動中人主體性的喪失
海德格爾提出現代技術的在實質層面上來講就是一種展現方式,在信息化的社會下,信息技術通過編碼化、數據化的展現,通過“強制”、“限定”是人進入到了一種非自然的狀態也就是一種失去了主體性意識的人,加之網絡的匿名性,是網絡中生活的主體人處于一種不被現實社會道德約束的假象之中,導致了人們現實與虛擬世界中分飾二角的分裂性人格,海德格爾指出在現代技術的作家中,一切事物包括人都成了必不可分的東西,而當人被吸納入這種系統之后,他“就被一股力量安排著、要求著,這股力量是在技術的本質中顯現出來的而又是人自己所不能控制的力量”,當技術操作者在運用自身掌握的網絡技術進行示失范的行為時,完全沒有意識到他并非技術的操作者,反而成了技術的奴役者,在這種技術的異化下逐漸失去了一個主體人本身所具有的自我約束能力和所有遵守的道德規約,逐漸淪為技術符號的附屬品,由主動變為了被動,有操控者變為了被控制者。
(二)技術的工具理性與道德價值理性的斷裂
針對技術的本身其使用的限度是受自然屬性的制約的,而現代的信息技術又帶有社會屬性,人們在帶有自身價值觀念去使用技術時就意味著人類多余技術的使用有可能超過所能承受的限度范圍。當人們在出于自身利益考量來過度開發的同時也就埋下了技術異化的因子。作為技術發展的最新形態,信息技術也同樣具有這兩種屬性,它的工具理性就如同其自然屬性一樣,其實質是呈現世界的實然狀態,但是在人們應用信息技術的過程中,把其工具理性推到一個至高的地位上,而其社會屬性也即是具有一定正向約束力的價值理性卻被“束之高閣”。技術的工具理性與道德價值理性本應并軌而行才能保證技術在發展的過程中能呈現一種自然的狀態,造福社會而又不違背其自身發展的規律,可人們為了謀取自身的利益,把技術本身視為一種客體,對其任意球取,沉浸在勝利的喜悅中卻毫無背德意識,“這種理性化的潛在邏輯,是加強支配與壓迫的邏輯。人對自然的支配變成了人對人的支配,而且最終會墮入自我支配的噩夢之中”。如此,工具理性與價值理性就此在人為的作用下發生了斷裂,“技術的‘真’與倫理的‘善’也就此斷裂,在空間上:技術則具有開放性和前瞻性,以獲取足夠的利潤支持,從而研發更先進的技術;倫理則具有封閉性和保守性,以獲取本體論意義上的家園感和安全感,即技術的‘利’與倫理的‘善’之間的斷裂。”信息技術的發展過程中若不將倫理的價值觀念納入考量的范圍之內,那么信息技術的工具理性就會與其價值理性就會分軌而行,造成工具理性的無限放大性的畸形發展,也就造成當下人們道德失范的種種后果。
(三)網絡信息技術使人的異化
馬克思曾指出:“勞動所產生的對象,即勞動的產品,作為一種異己的存在物,作為不依賴于生產者的力量,同勞動相對立。勞動的產品就是固定的某個對象中,物化作為對象的勞動,這就是勞動的對象化。勞動的實現就是勞動的對象化。在被國民經濟學作為前提的那種狀態下,勞動的這種實現表現作為工人的失去現實性,對象化表現為對象的喪失和被對象的奴役,占有表現為異化、外化。”人們在網絡社會中所掌握的信息技術,對人類的生活所產生的影響的范圍必然不會超出生產力與生產關系這一維度“,在異化的狀態下,信息技術成為統治人和剝奪人的異己和敵對力量,這時的人成了信息技術的附屬物。所以信息技術的異化的實質就是人與信息技術矛盾的激化,網絡信息在被濫用的情況下沒成了人的異己力量。記載信息社會中變成了數據化、符號化的人,人被異化成信息產品。人們不斷被信息同化、物化。”這種信息技術的異化使網絡社會中的人漸漸失去了其原有的價值品格,加之利益的驅使,使其原有道德品格喪失,在操縱他人個人信息時,自己也變為網絡社會中一個傳輸數據的中介,將其自身也數據化、符號化了。海德格爾曾言“和機器一樣,工業化時代的人本身也依賴于技術系統,人與其說是利用技術,不如說是為技術所用,因而人本身成了技術體系的職員、附屬、輔助,甚至是它的手段。”海德格爾的語言不僅適用于工業社會,在當下的網絡時代,信息社會里也同樣適用,在信息社會里,作為主體的人在進入這個虛擬化的網絡社會里,在信息技術的操縱下,在改造社會的同時,也改造了自己,由主體人變為數據人,這種技術的異化,改變了以往的社會結構,更對人們已然約定俗成的倫理道德構成了威脅。
四、針對失德行為的對策分析
網絡社會的迅速發展,信息化進程的加快,加之網絡空間的虛擬性與開方向,使得網絡社會生活的秩序出現的管理失控,信息的泄露與侵權已成為當下不可規避的難題之一,也逐漸從網絡社會中演化為現實生活中的矛盾,既對傳統的倫理規法發起了挑戰,也制約著網絡社會自身的平衡發展。因此網絡社會的健康發展呼吁建立是應用于當下的倫理道德規范,增進責任機制的培養,加大法律的保護力度,同時引導自律機制來調整當下社會的倫理困境,從而建立一個良好的網絡環境。
(一)責任機制的培養
網絡社會中信息技術的飛速發展使得人們原有的生活格局發生了翻天覆地的變化,而這種變化的發生可以說是于潛移默化中的一種徹底顛覆,人們從開始對信息技術的折服發展到當下對信息技術的崇拜,進而迅速沉淪,可是在這種環境下生存的道德觀念卻沒有及時梳理成型,就如美國學者理查德?斯皮內洛指出的:“技術往往比倫理學理論發展得快,而這方面的之后效應往往會給我們帶來相當大的危害。”當下網絡生活中道德相對主義盛行、無政府主義泛濫、人際關系淡漠以及道德人格的扭曲皆由因此而生,歸其本質是道德責任的淡漠,責任倫理遂成為信息技術時代的必然訴求,引導責任機制的建立成為當下解決道德失范行為的一個先導機制“,責任倫理”的概念是德國社會學家馬克思?韋伯于1919年在其所著的題為《作為職業的政治》一文中所提出的概念。隨著當下伴隨著網絡社會出現的一系列倫理范疇內的失范行為,責任倫理成為當下的必然訴求,面對利益與道德之間的矛盾時,全社會都應肩負起自身的責任來,不僅要注重個人對其職業的責任理念,更應該注重社會團體的責任意識,進而整個社會的責任觀念才會得以樹立,喚起我們這一時代的責任觀念,自身的本我價值觀念才能與社會公共的價值觀念才得以統一。針對當下網絡中的信息技術本身,本無善惡之分,技術的最初職能即是呈現實物的自然面,但當網絡的虛擬空間的獨特屬性,人置身于網絡社會中,在運用信息技術的過程中人為附加了人性化的元素于其中,有加之隱匿性的掩護,使人的劣根性不斷放大。若要在網絡空間這一亞社會領域里構建一個完整的價值觀體系,那么首先要構建的就是人們的責任意識,這是至關重要的,用責任意識去約束相關人員的行為“,因為倫理精神不僅僅是指信念或良心,責任是更為重要的,而用責任意識去衡量相關人員的行為,較以至善的信念作標準更為明確具體。”而對于我們前文所提到的針對個人信息安全,相關執業人員的一些違反自身職業道德或者社會規約的失范行為來講,最需要的就是對自身的責任機制的架構,在發揮其才能的同時又承擔相應的社會責任。西方的責任倫理大師尤納斯認為“:‘責任與謙遜’是最重要的倫理精神,由于科技行為對人和大自然的長遠和整體形象很難為人全面了解和預見,存在一種‘責任的絕對命令’”,所以,符合當下網絡時代,信息技術時間主體的新的責任意識必須是與技術的發展并軌而行的,這要求專業的技術人員在設計與應用技術的同時擔負起自身的責任,參與相關活動的運營團隊也同樣承擔起自身的社會責任,形成上行下效的責任機制,從而實現技術的健康發展,為社會的進步提供優化的保障。
(二)加強個人信息權的立法保護
針對于個人信息的保護除了我們之前提到的道德倫理和技術手段的保護之外,還有一個比較優秀的保護手段也是約束力最強的手段即是法律手段,在針對個人信息處理過程中造成的個人權利傷害的種種行為中,最能對個人提供保護并對相關人員起到強制約束力的有效手段。在我國針對個人信息權益的保護立法還只是臺灣地區和香港特別行政區有專門的個人信息保護法,而我國大陸的個人信息保護法尚在制定之中。在沒有專法保護的情況下,有關個人信息的問題是被拆分為保護人格與保護隱私等法律規范內來實施保護的。換言之,我國大陸地區還沒有出具保護個人信息權益的專法。從全球范圍看,絕大部分的大陸法系國家,包括少部分的英美法系國家都選擇了統一立法模式。統一立法模式是在立法上將個人信息保護法作為基本法對待。其特點在于充分考慮到個人信息保護的統一性,照顧到行政機關和私人機關處理個人信息行為的內在聯系,同時也主語在司法上采用同一標準。美國的分散式立法模式是在針對不同領域定制單行法,此種模式的最大優點在于立法明確,內容界定清晰。其弊端是無論從立法角度還是司法角度都容易造成法治的不統一。基于對一兩種立法模式的考量,在結合我國的法律體制和一貫法律傳統,我國的個人信息保護法應該選擇同一立法的模式為立法基礎,并在此基礎上引入自律模式,相互融合取長補短。針對我國的個人信息保護法的制定除了其基本的立法模式外,我國還應在各國立法的基本原則上梳理適合我國實際情況的立法基本原則。在梳理了各個指導原則后,筆者認為,OECD指針的第二部分適用于國內法律的實際范疇,而該部分規定的個人資料保護的八大原則也可為我國立法所借鑒。即,限制收集原則、資料品質原則、目的特定原則、限制利用原則、安全保護原則、公開原則、個人參與原則、責任原則,實踐證明,指針確立的原則對其后的國家立法以及國際文件都產生了示范作用,同樣為我國個人信息保護法的確立提供一個優良的基礎。一部完善的個人信息保護法就如同一面沒有漏洞的天網,能夠為個人信息的保護提供一道難以跨越的屏障同時也會讓諸多破壞個人信息安全的行為無所遁形,成為一種無懈可擊的保障力。
(三)完善個人自律機制
鑒于網絡社會的虛擬性、開放性等特質,網絡主體的行為帶有一定的隱匿性,使人們逐漸背離了現實社會中那些已然被大家接受并遵守的道德規約,加之法律、規范的約束力的滯后,使人們的劣根性不斷放大,以為可以在這個虛擬空降為所欲為。從心理學的角度來講,當人們認為自己在一個隱蔽的環境里,自己的行為不易被察覺,或者認為可以不受時時約束,可以逃避監督的情況下,行為主體就會自行卸下道德法規的“包袱”,而此時道德準則也就喪失其原有的作用。由此看來,完善自律機制是繼責任機制與法律保障后,又一需要架構的針對個人信息安全的保障機制。在信息社會中,網絡中的行為主體大多處于“獨處”的狀態之中,每個人都如穿著隱形衣一般,這時道德規約的貫徹實施就要求更高層次的自律。《禮記?中庸》有云:“道也者不可須臾離也,可離非道也。是故君子戒慎乎其所不睹,恐懼乎其所不聞。莫見乎隱,莫見乎微,是故君子慎其獨也》。”鑒于國人思想體系中儒家思想根深蒂固的地位,針對網絡社會中自律機制的建立,應以儒家“慎獨”思想為“入德之方”。“慎獨”思想所倡導的“獨處時堅守道德準則”對應于我們當下于網絡社會中的“獨處”狀態的道德戒律達成契約,強調我們在網絡社會中必須審慎的行動,在這種強烈的道德感的感召下,嚴于律己,恪守道德信念,進而達到網絡社會中個體人格與道德情操的高度統一。網絡社會是一個真正意義上的數字化與虛擬化的生存空間,在這一空間的道德理論的建立需要每個網絡活動主體的慎獨精神力,才能將外在的道德規約轉化為內在的一種約束體系,就如編寫程序一般編入每個操作者的操作流程中,將道德內化為一種習慣、一種網絡生活中自然的狀態,將規范轉化為一種責任感,才能盡可能從根源上規避失范行為的產生,當每個網絡活動主體都對自己的網絡行為審慎于獨處,戒其于微小,這種內在維系力便結成,道德的自律意識也便成型。
五、結論
在人類的歷史上普通民眾,從未有過像今天一樣,如此擔憂和害怕自己的個人信息安全,各種道德失范行為的肆意橫行,不僅給人們造成巨大的心理壓力更干擾其正常生活也會造成經濟損失,甚至是造成人身傷害,本文從倫理的角度出發深入地探究了道德失范行為的根源并從社會團體、法律機制及網絡主體個角度提出了解決這一難題的預想策略,希望對這一問題的理論研究供以微薄之力,先賢黑格爾曾提醒世人:成為一個人,并尊重他人為人。筆者這樣理解這句話:尊重他人是自己為人的前提。
作者:劉焱 單位:燕山大學文法學院
一、網絡信息安全立法的系統規劃
1.立法的目的是促進發展。
我們應當明確立法是為了更好地為發展提供規范依據和服務,是為了確保發展能夠順利進行。針對跟網絡有聯系的部分,我們可以將其歸到傳統的法律范圍內,并盡量通過修訂或完善傳統法律來解決實際的問題。如果一些問題必須要通過制定新的法律才能解決,我們再實施新法律的制定也不遲。并且新法律必須具備良好的開放性,能夠隨時應對新問題的發生。
2.要重視適度干預手段的運用。
為了促使法律可以跟社會的現實需求相適應,我們應當積極改變那些落后的調整方式,將網絡信息安全法律制度的完善重點轉移到為建設并完善網絡信息化服務,爭取為網絡信息的安全發展掃清障礙,從而通過規范發展來確保發展,并以確保發展來推動發展,構建良好的社會環境以促進我國網絡信息化的健康發展,形成一個跟網絡信息安全的實際需求高度符合的法治文化環境。
3.要充分考慮立法應當遵循的一些基本原則。
在立法的具體環節,我們不僅要考慮到消極性法律制定出來將造成的后果,還應當充分考慮積極性法律附帶的法律后果。因此,我們不僅要制定出管理性質的法律制度,還要制定出能夠促進網絡信息產業及網絡信息安全技術持續發展的法律制度,并涉及一些必要的、能夠積極推動我國網絡信息安全產業可持續發展的內容。
二、完善我國網絡信息安全法律制度的具體措施
(一)及時更新我國網絡信息的立法觀念
當下,一些發展中國家及大多數發達國家正主動參與制定網絡信息化的國際規則,尤其是電子商務的立法,這些國家的參與熱情最高,歐盟、美國及日本正在想方設法將自己制定的立法草案發展成為全球網絡信息立法的范本,其他國家也在加強對立法發言權的爭取,于是國際電子商務規則的統一出臺是我們指日可待的事情。從這一緊張且迫切的國際形勢來看,中國在實施網絡信息化立法時應當要適度超前我國實際的網絡信息化發展進程,及時更新我國網絡信息的立法觀念,勇于吸取發達國家先進的立法經驗,加快建設網絡信息安全立法的速度,盡快將國內的網絡信息化立法完善。與此同時,我國也應當積極爭取在制定國際網絡信息化規則時享有更多的發言權,切實將中國的利益維護好。
(二)加強研究我國網絡信息的立法理論
發展到今天,已經有相當一部分國人在從事我國網絡信息化的理論研究工作,取得了顯著的研究成果,為完善我國網絡信息安全的法律制度奠定了必要的理論依據。然而,這些研究工作并不具備必要的組織及協調,在力度和深度上都遠遠不夠,至今也沒有得出實際的法律草案,根本無法跟立法的需求相符。為了配合法律制度的完善,我們需要更加系統、更加深入地研究立法理論。具體地,我們要做好兩個主要的工作:其一,建議我國的一些相關部門在全國范圍內成立專門的學術研討會,針對網絡信息安全的法律政策進行研究,掀起我國研究立法理論的熱潮,積極推動網絡信息立法的實現。其二,積極研究國外的網絡信息立法,借鑒其中較先進的法律體系及經驗,同時要處理好網絡信息安全立法跟其他法律之間的關系。
(三)積極移植國外先進的網絡信息法規
跟中國相比,西方一些發達國家更早進行網絡信息立法的研究和實踐,并已經制定出很多保護網絡信息安全的法律制度,個別發達國家甚至已經構建了完善的網絡信息安全法律體系。所以,我們應提高對國外新的信息立法的關注度,爭取把握好他們發展網絡信息立法的趨勢。但是,對于國外已經完善的網絡信息安全法律,我們并不能照搬,而是要以中國的實際國情為基礎,勇于借鑒它們先進的立法成果,致力于使我們制定出的法律制度跟中國的特色社會主義市場經濟規律相符,從而真正提高我國網絡信息安全法律制度的完善速度,提升我們的立法質量。
(四)完善網絡信息法制建設的反饋機制
在制定并完善我國網絡信息安全法律制度的全過程中,我們堅決不能忽視反饋。反饋能夠確保我們順利實施網絡信息安全法律制度,并為網絡信息安全法律制度建設的進一步完善提供積極的參考依據。然而長時間以來,我國并沒有建立健全網絡信息安全立法的反饋渠道,從提出需求、編制條文到執行法規、監督法規,幾乎都是立法領域的主管機構在負責,這種管理方式自上而下,將法規的執行者擺在了被動的地位上,沒有跟法規的制定者建立起良好的信息溝通關系,對網絡信息安全法律制度的可行性、科學性等有極大的消極影響。所以,我們應當建立起通暢的網絡信息立法反饋渠道,構建完善的安全法律制度反饋機制,進一步明確各執法部門的反饋職能,全面收集運行網絡信息安全法律制度的相關信息,確保我國的網絡信息安全立法是科學的、現實的,促使法律制度在運行時能夠達到一個良好的動態平衡狀態。
(五)健全我國網絡信息安全的法律體系
網絡信息化最重要的保障就是網絡信息安全的基本法,因此我們應當盡快制定出這一基本法,加快健全我國網絡信息安全的法律制度體系。中國至今仍不具備網絡信息安全的基本法,這對建設及完善我國的網絡信息安全法律制度有很大的制約作用。隨著網絡信息化在中國的快速發展,社會發展及國民經濟當中信息網絡占據的地位越來越重要,其作用也愈加關鍵,一旦網絡癱瘓、數據丟失,人民的財產安全及社會的穩定都將遭受無可估量的巨大損失。也就是說加強保障我國網絡信息的安全已經發展成為最重要的網絡信息化工作之一。目前,網絡安全事故造成的經濟影響及社會影響正在逐漸加大,一旦事故發生,受到影響的將是數以千百萬計的國人,我們將要遭受的經濟損失將是幾百上千億。因此,我們更要進一步健全我國網絡信息安全的法律體系,切實維護信息網絡的數據安全、物理安全,將安全責任落實到人頭,加強對安全管理的改革,通過法律制度的完善來嚴厲打擊利用信息網絡及針對信息網絡實施的刑事犯罪。
(六)網絡信息安全法律制度的執行重點
完善我國網絡信息安全法律制度的執行重點應當體現在管理體制、網絡信任、信息保護、等級保護、研發網絡信息安全技術、應急處理、人才培養、監控體系以及應用推廣網絡信息安全標準、信息安全意識等各個方面。在實踐這一系列重點措施的過程中,我們應特別加強對網絡信息安全法律制度效率的提高。在信息網絡技術迅猛發展的今天,網絡信息安全法律制度擁有的積極作用不僅僅是滯后和適應,還應當充分體現為技術發展的前瞻性及主動規范性。網絡信息安全的法律制度必須是能夠促進網絡信息技術發展進步的,于是我們務必要提升網絡信息安全法律制度的效率,在法律制度的創設階段要科學借鑒主流的技術中立思想,重視法律對特殊技術要求的符合程度,超前為發展技術和完善技術留下一定的空間,提高網絡信息安全法律制度的社會適應性。在具體的執行過程中,我們應當加強研究國外先進的立法模式,取其精華、去其糟粕,借鑒其中有益自身發展的成分,有效解決法律制度跟技術之間存在的矛盾,積極鼓勵創新技術,大力開發自主知識產權,完善我國網絡信息安全的技術指標體系,提高法律制度的規范效率。換言之,在完善我國網絡信息安全法律制度時,我們不僅要遵循現有的法律體系,也要敢于跳出現行的立法理念,只要是跟現行的法律體系內容不符,我們就要將其突破;我們反對動輒立法,因為一些法律條文我們完全可以自行解釋、執行。在創制網絡信息安全法律時,我們不僅要重視制定管理性質的規范,也要頒布實施能夠促進網絡信息產業可持續發展的法律法規,并積極引導從業單位自律;積極防止對網絡信息傳播有害的管理機制的出現,進一步完善保障網絡信息安全的法規體系,建立起通過網絡信息弘揚我國優秀文化的激勵機制。在執行網絡信息安全法律制度時,我們不僅要完善其行政執法體制,還應當加強建立起一支專業的人才隊伍,由具備專業的網絡信息知識、擁有快速的安全反應能力的人員組成,以進一步明確職責,健全我們的執法機構,力求真正做到依法管理、依法行政、依法決策;加強完善我國網絡信息領域的司法公工作,力求通過司法的途徑切實維護好公民的合法權益,促使國家的經濟安全和政治安全得到保障,進而大力推動我國網絡信息有序、健康、安全地發展下去。
三、結語
我國網絡信息安全法律制度的完善是一個十分龐大的工程,涉及的內容也非常廣泛,于是在我們實際的生產生活中,我們必須要采取行之有效的措施加強完善我國網絡信息安全的法律制度,爭取為人們搭建一個安全的網絡信息交流平臺,在為大家提供方便的同時保護好大家的利益。
作者:潘俊松 單位:蘇州大學文正學院
一、會計信息安全的重要性
近年來,企業由于信息泄露引起損失的事件層出不窮,這些都在警示我們信息安全的重要。一個企業經濟的優秀部分就是財務會計數據。通過會計信息可以反映企業的財務問題,企業的運營狀況以及未來的發展方向,特別在當今經濟全球化的環境下,隨著企業規模和涉及行業的擴大,會計信息更是起到越來越重要的作用,部門負責人可以清楚地獲悉自己所管理的部分的完整、全面、細致的記錄,財務人員將會計信息最后編制成資產負債表、利潤表、現金流量表等供企業管理者和其他使用人員查閱,管理者通過對會計信息評估及時發現管理上存在的問題,根據企業的資金運行,更好地策劃企業的經濟業務活動,投資者通過會計信息獲取企業的財務狀況和經營成果,以便進行合理投資決策。
二、影響會計信息安全的因素分析
會計信息對現代企業有很重要的作用,因此在企業實現會計信息化后,面對現今各種信息泄露事件,我們必須提高警惕,分析可能造成會計信息安全問題的因素,并對之進行預防和完善,保護企業的會計信息安全。
(一)實行會計信息化的計算機硬件存在的問題。
會計信息化與運用計算機的水平密不可分,會計數據存儲于計算機的存儲區,因此計算機的硬件系統的配置就很重要了,出現配置不當或系統故障時都會影響會計工作的進行,故障時也容易造成數據的丟失,不利于會計信息的連通,嚴重時會導致系統癱瘓,威脅傳輸的信息的完整性,甚至使信息丟失,造成不可估量的損失。日常的會計工作中,計算機硬件在遇到突發情況,比如斷電之類,很容易造成系統磁盤的損壞而出現數據丟失的情況。
(二)企業運用的財務會計軟件存在的問題。
企業會計軟件是會計信息化運作的基礎,不同的會計軟件有不同的操作方法,有些操作的功能相同,但操作過程卻有區別。一個設計合理,功能優越的財務軟件可以從功能和內容讓使用人員相互牽制、互相監督,這樣有利于加強人員管理,起到最基礎的堵塞漏洞的作用。在應用軟件的研制過程中,對容易出現問題的軟件功能、細節等地方,全靠研究人員的多方面思量,如果考慮不周就有可能使得實際工作中出現與預想不同的結果,進一步導致整個結果有差錯。如果有這種問題存在的話,在實際處理中,當輸入原始資料,在軟件程序的控制下就會出現多個結果,這樣的問題直接影響到數據的真實、安全。在會計信息化深入企業之后,財務會計軟件成為了會計信息化的運行平臺,我國常用的財務軟件就是用友軟件和金蝶軟件。在這兩個軟件中也有不足之處。比如,用友軟件中,在填制采購及銷售訂單時,系統不要求輸入采購或銷售人員等相關經手人員。這樣的問題對多數要求按業務員進行訂單匯總的企業來說,不輸入采購或銷售人員,不便于匯總管理,而且如果日后出現問題,也對落實責任非常不利。而在金蝶軟件中,相比用友軟件的能夠增加、刪除、修改等功能,金蝶K3中只有查詢權和管理權,對用戶的職能設置不夠完美,安全性不高。
(三)人為的刻意破壞和泄露
1、財務人員實際操作不當。
由于實施會計信息化的財務人員處理業務能力不夠,自身職業素養不高,或責任心不強等原因造成的會計數據錄入出錯、操作步驟失誤、錯誤的處理方法以及檢查力度不夠導致賬簿混亂,賬證不符,賬賬不符等現象,降低了會計工作的質量,從而導致會計信息的完整性缺失、失去原本的信息可靠性。據華商網數據,在我國從業的財務人員中,會計人才市場已經供大于求,多數都只是初級資格,真正高能力、高素質、高效率的三高求職人數僅有該專業全部人數的10%左右,并不能滿足用人單位的需求。也就是說,會計從業人員的能力水平難以達到高層次的問題才是自身沒有找到好的工作崗位的原因。
2、會計人員違背職業道德,不遵紀守法。
對會計政策法規不十分了解,在實際業務操作不規范,具體控制措施不嚴的情況下,偽造、變造、隱匿、毀損會計資料;或是明知各項會計政策法規,但在現代這個充滿誘惑的時代,為了追求自己的利益,放棄原則,利用職務之便貪污、挪用公款、未經許可轉移資金、掩蓋企業各種舞弊等行為,做出不法之事,甚至竊取或泄露本企業機密,不顧企業損失,自己從中獲得利益。
3、單位領導的授意。
當代的企業中,公費私用的情況并不少見,對于領導的私用開支,會計人員作為企業雇員,不堅持自己的原則,不僅不阻止勸說這樣的錯誤,還聽從領導,參與造假,將私用公化,使得表面的會計數據不真實。
4、內部非會計人員的盜取。
非會計人員懷有目的性的通過利用盜取或收買有權限人員的訪問密碼之類通過了計算機財務軟件,在進入會計軟件系統之后,可以查詢想要查看的會計數據、賬簿信息、修改數據,甚至通過使用工具軟件直接將數據盜走。
(四)網絡黑客、病毒的攻擊
1、電腦黑客的攻擊。
網絡的廣泛運用也衍生出了黑客的存在,他們非法的利用計算機安全軟件系統漏洞,侵入到電腦用戶的系統中。在會計信息化中,電腦黑客入侵到企業的財務軟件中,查閱企業的會計數據信息,甚至利用網絡的漏洞,對電腦用戶進行實時的監控,盜取企業的優秀關鍵信息,從各個方面攻擊會計信息安全,使得企業的會計數據完全暴露在商業競爭者或有別的意圖的人的面前。
2、數據傳送過程中的安全威脅。
會計數據的信息化,使得在進行會計數據的傳送時,如果被對本企業有不正當意圖的人利用,則在傳輸的過程中很容易造成數據被截獲。
3、計算機病毒的破壞。
計算機病毒隨著網絡的發展也呈現出多樣化的特點,傳播途徑多,有些病毒一旦感染,很容易破壞原本的計算機程序,或者針對性地破壞計算機中的某個軟件,企業會計信息化所用的財務軟件也有可能被病毒感染,造成軟件中的會計內容無法瀏覽,軟件無法使用,甚至使整個會計軟件系統癱瘓,造成會計數據的丟失、損壞和篡改,而且損害硬盤后也無法進行數據的恢復,對會計信息安全有很大的威脅。
三、預防及解決會計信息安全問題的方法
信息時代的到來讓會計的職業從手工記賬的繁瑣來到現代化信息工程下的會計網絡化,也增大了人為的接近會計數據的機會,隨著人們心態以及對利益、名聲等的追求,對企業有很大影響力的會計數據也有了不同的想法。會計信息安全面臨的挑戰日益增強。在上述的分析中,從不同角度和層面得到了可能會影響到會計信息安全的因素,這些因素存在于這么多方面,而在目前的網絡時代中,會計信息的安全對一個企業來說是非常重要的,因此如何才能進一步地保護會計信息的安全是一個很大的問題。
(一)完善企業財務軟件的開發,做好系統維護工作。
財務軟件是會計人員實際工作中直接操作的,也是會計信息錄入后處理的重要部分,軟件的好壞、是否適合本企業的會計操作,功能是否完善都會影響到會計信息的安全。因此,完善企業財務軟件的開發要在日常做好軟件的升級、更新、系統維護等,配備功能完善的會計電算化軟件,請專門的軟件研發人員定期對系統進行檢查,以確保財務軟件處于正常、良好的運行狀態。
(二)規律地進行會計用計算機的硬件檢查,加強基礎設施的安全防范工作。
會計用計算機是企業的固定資產,通常為了減少開支,企業在現有資源可利用的前提下,通常不太注重設備的更新換代和機器重換,這樣的長期使用下,計算機出現系統故障、硬件損傷等等原因都可以成為會計信息數據不安全的潛在隱患。為了消除因為長久的不對會計用計算機進行重換引起的會計數據安全問題隱患,企業應該注意對計算機這種設備的折舊和換代,配備硬件過硬的計算機設備。在企業內部組建專門解決各種計算機問題的部門或小組,針對日常使用中出現的一般性硬件故障進行維修。
(三)企業多組織對財務人員的會計安全教育和管理
提高會計人員的自律意識,并在工作中進行考察,加強他律的強度。財務人員是了解企業會計信息的優秀人員,參與會計工作的人員職業道德直接影響到會計信息的安全。在通常的工作中,對待工作是否認真、是否秉持公正誠信的態度對待自己的職業靠的就是會計人員的自律意識,這種自律意識的缺失也是現今網絡時代下造成會計數據丟失或失真的直接主要原因,因此,加強會計從業人員職業道德的培養是非常有必要的。企業可以定期地請專業老師對企業內部財務人員進行職業素養培訓和再教育,不定期地實行財務人員職業道德的檢測,或者讓財務人員對自己近期的工作做簡報,重點說明自己或周圍同事存在的問題。
(四)會計人員及時做好會計數據的備份工作。
備份本身就是為了防止數據因為特殊原因丟失而事先將數據做個復制并存儲起來,因此及時地做數據的備份工作可以在出現數據有問題時做重新恢復的步驟,從而在很大程度上防止數據的丟失。
(五)企業制定更加完善的制度或規定。
在管理制度上,管理機制要符合內在性、系統性、客觀性、自動性和可調性,有怎么樣的管理機制就有怎么樣的管理行為、怎么樣的管理效果。實行最基本的崗位輪換制度、親屬回避制度。①崗位輪換制度一來可以提高企業財務人員處理不同工作的能力,還可以減少財務人員在了解業務后,利用工作的屬性和漏洞滿足自己的一些私欲;親屬回避制度是會計工作管理中最基本的原則,親屬間同屬財務會計部門大大增加了會計安全性的問題,一定要堅決避免。②實行獎懲制。現今生活中,許多人在面對物質金錢、名利時容易動搖,不顧自己的職業道德修養對出有違原則的事情,損害企業的利益,財務人員也不例外,財務人員的有違原則直接會造成企業會計數據的不安全性,因此企業可以針對財務人員的特質,制定相關的科學激勵政策以及懲罰方式,對于能自覺維護企業利益,認真工作的職員予以金錢上的獎勵,同時也允許職員間相互監督,發現有不遵守職業道德損害企業利益的行為及時舉報,經核實后對違反企業規定的人做出懲罰,懲罰可依犯錯大小而定。③給予財務人員目標激勵。根據弗魯姆的期望理論,企業可以多多了解在職財務人員的所需所缺,在此基礎上設置一系列的策略來激勵財務人員,使得職員不用違背自己的原則,也不會因為外界的誘惑而出賣企業的利益,只要努力工作就可以得到自己所想的事物,包括物質獎勵、晉升的機會、別人的認可、自己閱歷資質上的成長等。以目標為誘因,從客觀條件方面降低了財務人員通過自己的便利出賣本企業會計信息的可能性。
(六)企業內部審計部門的嚴格檢查。
企業的會計工作不定期的會有審計人員的檢查,審計人員只有遵守自己的職業道德,對同事不包庇、不袒護,發現問題直接報告,這樣的做法才能對企業財務人員起到威懾作用,從外力上要求和強制財務人員必須保證自己工作的準確無誤,保證經手的會計信息安全,否則將會面臨處罰,甚至被解除雇傭關系。對會計信息的審查力度是保證財務人員不弄虛作假的根本保障。
(七)創新計算機安全技術,對企業會計信息做加密。
針對電腦黑客的惡意攻擊、計算機病毒傳播,企業可以通過完善本企業所用計算機安全軟件,提高入侵檢測、掃描漏洞的技術,加強對網絡層面上惡意攻擊的阻止范圍。對要傳送的會計數據做加密處理,防止在傳送過程中給別人可乘之機。
作者:李喚兒 單位:渤海大學管理學院
一、網絡服務提供者承擔信息安全保障義務的正當性
明確網絡服務提供者在信息網絡社會中居于何種法律地位,是探討網絡服務提供者承擔信息安全保障義務的首要前提。站在用戶的角度,所有能夠供用戶接入網絡,得以存儲、傳輸信息的服務提供商都可構成本文所言的網絡服務提供者。之所以立足于這樣一個視角,對網絡服務提供者做出如此籠統、概括的解釋,是由于計算機信息技術的發展,正在衍生出更多類型的網絡服務提供者,如越來越多的智能設備制造商以及軟件服務提供商。于此情形下,任何試圖從正面對網絡服務提供者做出的界定都將是不完整的。此外,本文也不認為對現有的網絡服務提供者進行分類會有助于我們認識其內涵,恰恰相反,它會割裂我們對網絡服務提供者法律地位的整體性認識,分類僅在闡述其負有的信息安全保障義務的范圍時,才具有一定的意義。本文主要從網絡服務提供者在網絡技術運行規則中所起的整體作用來為其定位。互聯網的誕生和發展由始至終都是一場信息技術革命,這場革命區別于以往任何一次技術革命的特殊之處在于,物理世界是由原子構成的,信息的載體為能夠直接進行控制的實體物;而互聯網絡時代信息的載體轉化為以比特為單位,可被計算機進行處理、保存和分析的一系列數據。信息的表現形式皆為不可觸摸,只可感知的文字、聲音、圖片以及視頻。不僅如此,借由計算機網絡技術的發展,人類得以搭建起了一個信息的虛擬平臺,通過它把各個點、面、體的信息聯系到一起,從而最終跨越時間和空間的距離實現這些資源的共享。隨著信息技術的不斷深入發展,網絡對人類的影響已蔓延至工作、生活的各個角落,大到一國軍事機密情報的保管和傳輸,小至普通用戶的人際交往和購物行為,均是借助于網絡實現。而支撐整個網絡系統運行的正是形形色色的各類網絡服務提供者,可以說,他們是這個整體系統的集體構建者和締造者。簡單講,無論是提供基礎寬帶服務的電信運營商,或是接入互聯網的路由器制造商,抑或是提供即時通訊服務的軟件服務商,用戶皆是通過其提供的某一部分網絡服務記錄、傳輸信息。任何一個環節出現安全問題,信息的存儲和傳輸都會受到影響。由此可以說,無論單個的網絡服務提供者為整個系統的運轉提供何種服務,從整體上看,在這場技術革命中,都扮演著信息看門人的角色。信息網絡獨有的這些技術特征,使得網絡社會中對一國金融安全、軍事安全或個人人身安全及財產安全的保護更多的表現為對信息在存儲、傳輸等過程中安全的維系。由于網絡用戶使用者無法對信息進行最直接的控制,而是需要依托網絡服務提供者所提供的技術服務,在此基礎上享有有限的使用權和控制權,導致物理世界中簡單易行的安全規則無法有效適用于信息網絡社會,用戶面對安全隱患時常常處于被動的地位。以近期發生的路由器被破譯事件為例,由于部分路由器在技術上存在著安全漏洞,致使用戶在上網過程中留下的銀行賬號、支付密碼等個人信息被盜取,使用戶的人身和財產安全受到損害或威脅。導致這種情況出現的部分原因正是由于路由器廠商未能積極、及時的升級其系統,以致出現安全漏洞,造成用戶的個人信息泄露,進而損害其實際權益。實踐中,類似的信息泄露事件不勝枚舉,無一不與網絡服務提供者密切相關,而用戶面對這種情況在很大程度上缺少主動有效的防范能力,只能寄希望于網絡服務提供者采取有效的措施確保產品或技術的安全。基于上述客觀事實,我們認為,網絡服務提供者基于其所處的信息看門人地位,既有責任,也有能力,向所有網絡用戶承擔信息安全保障的義務。這是一種最低限度的保護義務,其特點如下:第一,這項義務不同于網絡服務提供者對國家或個體所負有的有如一般經營主體的其他義務,它不以任何具體的主體作為自己履行義務的直接對象。這是由于信息網絡具有開放性、互聯性的特點,任何一種不安全因素會同時危及國家、企業或個人的國家安全、商業機密或人身、財產安全等等。故而其既不同于私法上的義務,也異于公法上的義務。第二,該義務內生于網絡服務提供者成立之時,貫穿于其為網絡用戶提供網絡服務的全部過程,即使在其退出網絡服務領域之時,也需為該義務的履行做出最為妥善的安排。恰如雅虎中國郵箱在關閉之前,通過各種公開渠道向所有注冊用戶發出停止服務通知,詳細列明與此相關的一切事宜,并敦促用戶及時注冊新的郵箱,以確保其信件的安全。
二、私權視角下網絡服務提供者注意義務的局限性
(一)侵權法領域網絡服務提供者承擔注意義務的規則
互聯網技術發達的美國和歐洲較早地注意到了網絡服務提供者在維護個人權益安全方面的作用。因而通過國內或地區立法針對不直接提供網絡內容的服務者在某些情形下承擔侵權責任做出規定。以美國為例,其在《數字千年版權法案》中即以避風港規則和紅旗規則為非網絡內容服務提供者對版權領域內出現的某些侵權行為設定了一定的注意義務。依據避風港規則,自身不提供內容的網絡服務提供者根據權利人提出的符合法律規定的通知及時地處理了涉嫌侵權的信息,便能夠享受免于承擔侵權責任的資格。②紅旗規則是避風港規則的一項例外適用,其含義是如果侵犯信息網絡傳播權的事實是如此的明顯,如同紅旗一樣飄揚,那么網絡服務提供者即不能以避風港規則推卸責任,在此情況下,即使權利人沒有發出請求刪除、屏蔽的通知,網絡服務提供者也應當對此承擔侵權責任。立法者意圖通過這兩項規則的適用達到既能不為網絡服務提供者設置過重的負擔,妨礙其行業發展,又能保護相關權利人版權利益的目的,初衷不可謂不深遠。我國的《信息網絡傳播權保護條例》、《侵權責任法》相繼吸收了美國法中的這兩項規則。③但在適用上做出了三點不同的變通,這表現在《侵權責任法》第36條第2款的制度設計上:其一,網絡服務提供者的類型由非網絡內容服務提供者擴大至其他類型的軟件服務提供者;其二,侵犯的權益由信息傳播權擴大至所有可能被通過網絡侵犯的民事財產權及人身權;其三,改變了美國法中以網絡服務提供者不承擔審查義務為主要原則,僅在有限的情況下就其未盡到注意義務需承擔侵權責任為輔的立法初衷,而是代之以網絡服務提供者承擔與實際侵權人同等程度的網絡侵權責任作為一般原則,將原避風港規則中的通知和刪除程序作為衡量網絡服務提供者是否承擔侵權責任的決定性標準。美國法中的避風港規則與紅旗規則在引入我國《侵權責任法》時發生的上述變化,表明網絡服務提供者需要對他人的網絡侵權行為承擔更為嚴格的侵權責任。這種以救濟受害人為主要目的的侵權歸責模式,源于當時出現的許多人肉搜索、網絡謠言等侵權事件這一社會背景。立法者在做出這種制度設計時,更多的是基于一種政策考量,而不是從網絡服務提供者本身的地位出發,規定與其能力相適應的義務和責任。這種出發點決定了第36條在適用的過程中并無法解決諸多實際問題。首先,網絡侵權行為所侵犯的權利類型越來越多,不僅包括知識產權,還包括名譽權、隱私權等人格權。對于某網絡用戶是否侵犯了他人的權利,這其中涉及價值判斷,該問題在司法實踐中一般是由法院作出裁決。從根本上講,網絡服務提供者并無資格僅僅根據權利人的權利通知即采取刪除、屏蔽等消除侵權信息的措施。如果無視這種資格缺陷,在知識產權領域賦予網絡服務提供者以審查權限,那么鑒于此類權利的識別性較為容易,這尚且處于其能力范圍之內,但在權利類型擴張到人格權的情形下,權利沖突已經變得極為復雜,網絡服務提供者對此已經失去了甄別的能力。這也從側面說明了為何美國的避風港規則和紅旗規則僅適用于版權法領域,而沒有擴及其他侵權情形。其次,WEB2.0技術的應用和普及,出現了博客、微博、微信等網絡交流平臺。原來由網絡服務提供者集中控制主導的信息和傳播體系,逐漸轉變成了由廣大用戶集體智能和力量主導的體系。此外,隨著用戶數量的激增,信息的產生和傳播呈現出海量化和碎片化的特征。網絡服務提供者在這種信息流動模式下,難以行使針對具體個人權利的信息審查義務。前述兩項客觀制約因素決定了侵權法對網絡服務提供者義務和責任的規定已超出了其能力范圍之外,這種規則本身的運行并無法起到保護受害人權益,凈化網絡的初衷。
(二)從私權角度審視網絡服務提供者義務的局限性
無論是美國法中網絡服務提供者承擔寬松的注意義務規則,或是我國侵權法中以嚴格救濟受害人為主的制度設計,兩者均是站在維護私權的角度對網絡服務提供者應盡之安全保障義務做出規定。嚴格講來,任何安全維系規則的終極目標都是為了保護民事主體的私人權益不被侵犯,這是理所應當且毫無疑問的。然而問題的關鍵在于實踐中威脅民事主體權益的不安全因素有諸多表現形式,并非每一項都表現為直接侵權,換言之,傳統的侵權歸責模式并不適用于所有的安全威脅情形,民事主體個人權益的最終保護并不能都通過主動提起侵權訴訟來獲得解決。這在當下層出不窮的網絡安全頻發的各色事件中表現的尤為明顯。如2011年騰訊公司與奇虎360公司發生不兼容大戰,騰訊迫使6000多萬用戶卸載了360安全軟件。該事件本身雖是兩類網絡服務提供者因不正當競爭而起,表面上看,并沒有直接侵犯網絡用戶的實際權益,但實際上騰訊公司迫使所有使用QQ的用戶卸載360殺毒軟件的行為正是無視這些用戶的網絡安全選擇,間接地置其人身和財產安全處于危險境地。當QQ用戶因卸載殺毒軟件遭受信息泄露,實際權益受到侵犯時,卻無法依據目前的私權規則提起侵權之訴保護自身權益。另一方面,依據前述我們對信息網絡運行規則的解讀,網絡是一個縱橫交錯的整體性系統,所有的網絡服務提供者均處于進入網絡通道看門人的地位。不獨網絡軟件服務提供商,即使是網絡硬件設備提供者,也應負有信息安全保障義務。如電腦的芯片制造商,在芯片投入批量生產之前應盡可能地對其技術安全性進行全面的檢測,當其在使用過程中發現存在漏洞時,也應及時采取技術修復等各種可能的措施最大限度的確保用戶的使用安全。而私權規則僅針對在某些直接侵權情形下未盡到注意義務,而需承擔侵權責任的軟件服務提供者。從本質上看,這是將網絡關系簡單化為軟件服務提供者與網絡用戶之間的債權化網絡結構,從而將網絡服務提供者等同于一般安全保障義務主體,忽略了信息網絡其他構建者應負有的信息安全保障義務,上文所述之路由器被破譯以致個人信息泄露事件即是證明。在具體的侵權法領域,網絡僅是一種使用工具,網絡服務提供者猶如普通的商品制造商一樣,并不對任何個人通過使用該工具而侵犯他人的行為負責。綜上可知,站在維護個體私權的角度看待網絡服務提供者應承擔的信息安全保障義務,加重了網絡服務提供者對所有個體用戶承擔義務的負擔,隨著網絡技術的不斷縱深發展,網絡用戶在使用人數和行為模式上也發生了很大的變化,前述私權規則在解決具體侵權問題方面,僅具有有限的適用性。此外,該規則將保護主體限于私人用戶,忽略了網絡服務提供者對國家、公司等商事組織負有的信息安全保障義務,具有很大的片面性和局限性。現實情況下,面對越來越多的各類網絡安全事件,私權規則中對網絡服務提供者義務和責任的規定卻無法適用于其中。鑒于此,我們應該跳出私權視角俯瞰整個公共領域,重新審視網絡服務提供者應當負有的信息安全保障義務,該義務應具有更深遠的價值取向和目標,并且配有更為細化和恰當的義務履行規則。
三、信息安全保障義務的價值取向:公共秩序與公共安全
以維護純粹的個體私益捆綁網絡服務提供者應負有的信息安全保障義務,具有很大的局限性。基于信息網絡開放、互聯的結構性特點,以及網絡服務提供者在整體系統中所處的地位,網絡服務提供者負有的信息安全保障義務應以公共秩序與公共安全為價值目標。網絡空間是否存在著公共性,這是我們在理解這一價值目標時首先需要面對的問題。通常我們基于網絡空間的虛擬性而傾向于淡化其公共性和社會性的一面,進而將網絡社會簡化為無數個用戶與軟件網絡服務提供者之間的相對法律關系,對于網絡糾紛也傾向于以純私法的方式進行處理。網絡的虛擬性是指信息的存在方式皆以文字、圖形、聲音、視頻形式表現,而缺少現實世界中立體、固有的形態實體物。這個特點常常在視覺上給用戶以錯覺,認為自己脫離了群體性的生活,面對的僅僅是不可觸摸的信息,而忽略了任何信息流產生和傳播的背后均是人際關系在發生互動這一基本事實。物理世界中,先存在著一個公共空間和領域,而后才會產生聚合的公共行為;而網絡空間的虛擬性打破了這個傳統的模式,先有人與人之間的互動,而后才形成一個公共空間。換言之,不論空間的表現形態如何,只要人們以言行的方式聚集在一起,展現的空間就形成了。由此可以說,虛擬性并不排斥公共性,甚至在某種程度上,虛擬性成就了網絡空間所特有的公共性。網絡空間具有公共性意味著作為信息看門人地位的網絡服務提供者需為空間中所有用戶承擔最低限度的信息安全保障義務,即維護網絡公共秩序與公共安全。秩序關注的是網絡空間內各類信息流的暢通、有序運行;安全強調的是不被攪擾,能夠自由流動的一種狀態。秩序與安全雖然指向性不同,然而兩者并非可以分割,而是緊密連為一體的價值。秩序的維持有助于確保安全,而對安全的保障,也有利于秩序的實現。秩序與安全是人類生存與發展最基本的價值需求,但與現實的物理社會相比,網絡社會似乎對此表現出了更強烈的需求。這主要源于兩個原因:一方面,現實社會已經發展的較為成熟,形成了一套運行穩定的制度體系來確保社會秩序與安全,而對于新生的網絡社會而言,面對的是一個全新的領域,建立起一套基本的秩序與安全規則,是網絡社會得以運行的基本前提和保障;另一方面,與現實社會不同,網絡社會中人與人之間工作、生活等各方面的交際均是以信息流的形式通過網絡平臺進行,這種長線距離的曲線性交往最容易在過程中產生波瀾,因而確保個人信息在流轉過程中的有序與安全成為網絡社會必然的價值選擇。換言之,網絡世界更需要對信息產生、傳播過程的管控,這迥然于現實世界對私人權利的靜態保護。可以說,公共秩序與公共安全這兩項價值內生于網絡社會,也將伴隨其永久存在和發展。網絡社會對公共秩序與公共安全的渴求,在很大程度上表現為網絡服務提供者需對所有用戶承擔信息安全保障義務。這歸根結底是由網絡特有的技術特征以及網絡服務提供者所處的法律地位決定的。網絡社會的一切活動都需借助于網絡平臺進行,人與人之間的行為表現為各種信息的流動,因而從技術上確保信息流有序、安全的產生、存儲和傳輸,顯得尤為迫切和重要。實踐中許多危害公共秩序與公共安全的行為均是由于網絡技術存在缺陷所導致。如2011年,程序員網站CSDN、天涯社區、美團網等網站數據庫遭到黑客攻擊,網絡個人信息泄露事件曾集中爆發,上億用戶的注冊信息被公之于眾,其中,廣東省出入境政務服務網泄露了包括真實姓名、護照號碼等信息在內的約400萬用戶資料。針對這些問題,網絡服務提供者與政府機構或其他主體相比,既有能力,也有條件積極、主動的進行預防和事后應對。此外,隨著大數據分析技術的發展,信息越來越成為一種各類網絡服務提供者爭相攫取的新型資源,網絡服務提供者作為受益者,理應對這一資源的有序流動和安全承擔保障義務。需要說明的是,網絡服務提供者以公共秩序與公共安全為價值目標承擔信息安全保障義務,并非忽略對私權的保護。公共秩序與公共安全著眼于潛在不特定多數人的利益,因而對其進行維護恰恰能夠最大限度地保護私權。實踐中,許多個體的私權受到侵犯往往是由于網絡服務提供者未盡到信息安全保障義務所致。如家、漢庭等大批酒店的開房記錄泄露事件,正是因酒店Wi-Fi管理、認證管理系統存在信息安全加密等級較低問題,以致這些信息被黑客竊取、泄露,危及開房人的實際權益。
四、信息安全保障義務內容———以個人信息保護為例
在公共秩序與公共安全的價值指引下,網絡服務提供者需要承擔的信息安全保障義務范圍廣泛,既包括所有的網絡服務提供者不得制造或提供危害網絡公共秩序與公共安全的產品或服務,也包括需采取技術措施不斷升級自身產品或信息系統,確保不會出現安全漏洞從而被他人侵入和破壞;既包括某些非內容服務提供者對用戶利用平臺傳播與該價值目標不符的言論或行為做出禁止,也包括相關網絡服務提供者在經營過程中產生矛盾糾紛時對自己行為(如不正當競爭)進行克制,避免因自己的行為將用戶的基本使用安全置于危險境地;等等。如此廣泛的范圍使得清晰規定網絡服務提供者承擔的信息安全保障義務內容絕非易事。目前,網絡服務提供者未盡信息安全保障義務常常表現為個人信息被非法收集、處理、利用、泄露,以致危害不特定多數人的人身及財產權益,在此以個人信息的保護為主線說明網絡服務提供者應承擔的信息安全保障義務的主要內容。
(一)網絡服務提供者未經法律規定或用戶同意不得任意收集、存儲和處理他人信息
信息網絡時代,信息不斷的產生和流動,網絡服務提供者憑借其先進的技術手段,能夠對用戶使用網絡留下的諸多信息進行收集、存儲和處理。由于個人信息能夠單獨或與其他信息結合識別出特定的信息主體,從而將信息主體的人身安全、隱私、財產等權益曝光于眾目睽睽之下,增加受害的幾率,因而對網絡服務提供者收集、存儲和處理個人信息的行為應當進行規制。任何網絡服務提供者都不得未經許可收集個人信息,應當是一般原則。對于用戶同意收集的個人信息,網絡服務提供者應當在指定的收集用途范圍內使用,不得超出該范圍另作它途,同時也不得基于一定的目的,將該信息提供給其他主體使用。
(二)網絡服務提供者需采取措施維護信息在產生及流轉過程中的安全
網絡服務提供者在使用信息系統對個人信息進行存儲、處理時,應當采取適當的管理措施和技術手段保護個人信息安全,防止未經授權檢索、披露及丟失、泄露、損毀和篡改個人信息。一般而言,網絡服務提供者應從管理和技術兩個方面確保個人信息的安全。網絡服務提供者應當實施各項管理措施,如建立個人信息收集、使用及其相關活動的工作流程和安全管理制度;對工作人員及人實行權限管理,對批量導出、復制、銷毀信息實行審查,并采取防泄密措施;妥善保管記錄個人信息的紙介質、光介質、電磁介質等載體,并采取相應的安全儲存措施;等等。實踐中,盡管不同的網絡服務提供者根據自己所處的地位和提供的網絡服務的不同會采取各異的管理措施,但只要最大限度的確保其管理上不存在人為的漏洞致使他人信息泄露,即可視為網絡服務提供者盡到了該項義務。除了管理措施不夠完善導致個人信息泄露外,技術因素是另一個重要原因。由于互聯網絡的發展,大量個人信息被計算機和各種網站等各類網絡服務提供者存儲,因而一旦網絡出現系統漏洞、程序漏洞等各種危害安全的漏洞后往往會導致大規模個人信息發生泄露。從技術上而言,漏洞是軟硬件在設計上存在的缺陷,攻擊者能夠在未授權的情況下訪問或破壞系統。一個系統自時起,就一直處于漏洞發現和修補的循環之中,漏洞問題會長期存在。這種特性要求網絡服務提供者應對儲存用戶個人信息的信息系統實行接入審查,實時注意網絡異常,當發現問題時,及時進行補丁修復,并采取防入侵、防病毒等措施,增強系統的抗攻擊性,確保信息安全;同時,網絡服務提供者應建立網絡安全日志,對重要網絡系統及數據、信息及時備份。此外,一旦發生個人信息泄漏、丟失,網絡服務提供者應及時通過網絡、報紙、電視等媒體渠道告知受影響的個人信息主體事件的發生情況以及應采取的防護措施,以免給其造成無法挽回的損失,并且還應當及時向國家相關信息管理機構進行通報。
(三)網絡服務提供者對用戶違反法律、法規規定或傳輸信息的行為應當予以禁止
網絡服務提供者應當加強對其用戶的信息的管理,對法律、法規禁止或者傳輸的信息,應當立即予以禁止,采取消除等處置措施,保存有關記錄,并向有關主管部門報告。法律、法規禁止或傳輸的信息,一般而言是危害國家安全、嚴重損害公共秩序與公共安全或有損社會風氣等信息。如宣傳邪教思想的視頻或文字;教授用戶破解他人路由器方法的文字;某網站已被泄露的用戶銀行賬號、身份證號等個人信息;等等。網絡服務提供者對前述信息的和傳輸進行管理,意味著其對信息的和傳輸具有一定的審查義務,這不同于侵權法領域要求網絡服務提供者站在私域角度純粹依據自己的價值取向保護個體私權之情形,該項義務的履行具有較為明確的參考標準,因而也不會對用戶的言論自由構成侵犯。事實上,在對用戶或傳輸的信息進行審查方面,網絡服務提供者在某種程度上更類似于一個公共管理機構,因而這既是其承擔的義務,也是其享有的部分公共管理權限。
(四)網絡服務提供者終止其技術服務時應最大限度的確保使用該技術服務的用戶的信息安全
網絡服務提供者在經營過程中,如若要停止某項技術服務,對于使用該技術的所有用戶應當提前發出通知,及時提醒其繼續使用將會帶來的風險,以及告知其避免這些風險需要采用的措施,給用戶足夠的時間進行技術更換工作。如微軟中國此前宣布于2014年4月8日停止對WindowsXP的支持,但考慮該操作系統在我國通信等重要行業仍占據較高比例,若立即停止將會給基礎通信網絡帶來直接風險,威脅基礎通信網絡的整體安全,故其決定將與包括騰訊在內的國內領先的互聯網安全及防病毒廠商密切合作,為中國全部使用XP的用戶,在用戶選擇升級到新一代操作系統之前,繼續提供獨有的安全保護,幫助用戶安全度過系統過渡期。網絡服務提供者之所以在其技術服務結束時仍需向用戶承擔信息安全保障義務,源于長久以來二者之間的一種相互生存倚賴,尤其在當下的互聯網行業,某類網絡服務提供者在某些技術方面長期處于壟斷地位,導致其地位已具有不可替代性,因而在退出時理應采取一些安全措施保護所有使用其技術服務用戶的安全,避免因其退出技術服務而給用戶帶來人身及財產損失。在當下網絡新產品或服務不斷涌現的時代背景下,網絡服務提供者承擔信息安全保障義務的內容非常之多,不同類型的網絡服務提供者承擔的信息安全保障義務內容也各不相同,于此情形下,窮盡其所有的義務內容絕非易事。上述以個人信息被非法收集、使用及泄露為例說明網絡服務提供者應承擔的義務,僅具有概括作用,具體到實踐中,每一網絡服務提供者究竟有無盡到信息安全保障義務,應以公共秩序與公共安全為價值指引做出判斷。
五、結語
對網絡服務提供者課以信息安全保障義務,這是由其在信息網絡中所處的法律地位決定的,也是最大限度的發揮其對社會公共秩序與公共安全的維護作用。然而在互聯網絡時代,各類網絡用戶信息安全權益的保護并非僅僅依靠網絡服務提供者一方盡到信息安全保障義務即可實現,也需要國家的管理和所有用戶的配合。實踐中,我國存在著網絡關鍵基礎設施大多采購國外公司,網絡優秀技術過分依賴他國產品,網民的安全意識不高等問題,這些都在某種程度上為信息網絡的發展埋下了安全隱患。因此,我們應從國家層面加大網絡安全設備和基礎設施的建設,加強網絡技術及安全技術自主研發,健全網絡安全法律法規,構建網絡安全防范體系,并發揮各類網絡協會的自律職能,且對所有用戶輔之以網絡文明安全教育,引導其自覺遵守網絡秩序、提高網絡安全意識,從而全面維護信息網絡的整體性安全。
作者:梅夏英 楊曉娜 單位:對外經濟貿易大學法學院
1人工智能與信息社會的建立
顧名思義,人工智能就是研究怎樣利用機器模仿人腦進行推理、設計、思考和學習等思維方式和活動,幫助人們解決一些需要專家才能解決的問題,通俗一點說,就是借助計算機來執行人類的智能活動,最終實現利用各種自動化機器或是智能機器,模仿和完成人的智能活動,實現某些“機器思維”或是腦力自動化。但從學術的角度說,人工智能包含的范圍非常廣,與人工智能相聯系的不下幾十門學科,所涉及的理論領域和應用的領域幾乎涉及人類的所有活動,人類任何工作離不開智能,因此,任何領域都是人工智能的潛在應用領域。例如,應用人工智能的方法和技術,設計和研制各種計算機的“機器專家”系統,可以模仿各行各業的專家去從事醫療診斷、質譜分析、礦床探查、數學證明、家務管理、運籌決策等腦力勞動工作,以完成某些需要人的智能、運用專門知識和經驗技巧的任務等等。在信息社會的構建中,網絡的應用正在深遠的影響著人們的工作和生活方式,計算機網絡技術的發展正處在日新月異、交融更替之際,信息安全的保證將成為公眾的需求和時代的責任,在這個方面,人工智能技術是一種模仿高級智能的推理和運算技術,在很多實際的控制和管理問題上都顯示出具有很強優勢,如果能把人工智能科學中的一些算法與思想應用到計算機網絡中,將會大大提高計算機網絡的性能,不斷提高信息的安全性。
2信息安全與人類生活的關系
信息安全包含的范圍很廣,大到國家軍事機密,小到如何防范商業秘密和人身秘密。在目前的網絡信息社會中,信息安全的實質就是要保護信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞,但是在我們的日常生活中,這種事情還是屢有發生。
2.1信息安全對人們生活的影響
(1)對信息服務的破壞。
一是信息的泄露,被某個未被授權的實體或者是個人獲得用于不法目的,而且在這個過程中,可能導致信息被非法轉讓、刪減或者是破壞,讓原來信息擁有者的信息失去真正的意義;二是被拒絕服務,這是對信息或者是相關資源的合法訪問被無條件阻止。
(2)非法使用對合法權的破壞。
這主要是某一資源被某個非授權的人,或以非授權的方式使用。一是竊聽。用各種可能的合法或非法的手段竊取系統中的信息資源和敏感信息。例如對通信線路中傳輸的信號搭線監聽,或者利用通信設備在工作過程中產生的電磁泄露截取有用信息等。通過對系統進行長期監聽,利用統計分析方法對諸如通信頻度、通信的信息流向、通信總量的變化等參數進行研究,從中發現有價值的信息和規律。二是假冒。通過欺騙通信系統(或用戶)達到非法用戶冒充成為合法用戶,或者特權小的用戶冒充成為特權大的用戶的目的。黑客大多是采用假冒攻擊。攻擊者利用系統的安全缺陷或安全性上的脆弱之處獲得非授權的權利或特權。例如,攻擊者通過各種攻擊手段發現原本應保密,但是卻又暴露出來的一些系統“特性”,利用這些“特性”,攻擊者可以繞過防線守衛侵入系統的內部破壞
2.2信息安全受到威脅的分類
(1)授權侵犯
被授權以某一目的使用某一系統或資源的某個人,卻將此權限用于其他非授權的目的,也稱作“內部攻擊”。在某個系統或某個部件中設置的“機關”,使得在特定的數據輸入時,允許違反安全策略。
(2)木馬攻擊。
軟件中含有一個覺察不出的有害的程序段,當它被執行時,會破壞用戶的安全。這種應用程序稱為特洛伊木馬(TrojanHorse)。計算機病毒:一種在計算機系統運行過程中能夠實現傳染和侵害功能的程序。
(3)人為原因。
一個授權的人為了某種利益,或由于粗心,將信息泄露給一個非授權的人。信息被從廢棄的磁碟或打印過的存儲介質中獲得。侵入者繞過物理控制而獲得對系統的訪問。重要的安全物品,如令牌或身份卡被盜。業務欺騙:某一偽系統或系統部件欺騙合法的用戶或系統自愿地放棄敏感信息等等
3人工智能對信息安全的影響和未來發展趨勢
隨著人工智能的不斷發展和應用方法的不斷成熟,人工智能在信息安全保障的服務能力將更加強大,人工智能也將處于計算機網絡發展的前沿,與計算機發展的軌跡同行。筆者僅就人工智能在信息安全的具體領域“數字水印”的研究展開論述,分析未來人工智能與信息安全的密切關系。
3.1數字水印的定義
數字水印技術的基本思想源于古代的密寫術。古希臘的斯巴達人曾將軍事情報刻在普通的木板上,用石蠟填平,收信的一方只要用火烤熱木板,融化石蠟后,就可以看到密信。使用最廣泛的密寫方法恐怕要算化學密寫了,牛奶、白礬、果汁等都曾充當過密寫藥水的角色。可以說,人類早期使用的保密通信手段大多數屬于密寫而不是密碼。然而,與密碼技術相比,密寫術始終沒有發展成為一門獨立的學科,究其原因,主要是因為密寫術缺乏必要的理論基礎。
數字水印(DigitalWatermark)技術是指用信號處理的方法在數字化的多媒體數據中嵌入隱蔽的標記,這種標記通常是不可見的,只有通過專用的檢測器或閱讀器才能提取,因為當前的性信息安全技術都是以密碼學為基礎,計算機處理能力提高后,這種密保措施已經越來越不安全,因此數字水印就是人工智能跨速發展的結果,數字水印是信息隱藏技術的一個重要研究方向,這對于信息安全有著超強的保護能力。
3.2數字水印的特征
(1)隱蔽性:
在數字作品中嵌入數字水印不會引起明顯的降質,并且不易被察覺。
(2)超強安全性:
水印信息隱藏于數據而非文件頭中,文件格式的變換不應導致水印數據的丟失。
(3)不可丟失性:
是指在經歷多種無意或有意的信號處理過程后,數字水印仍能保持完整性或仍能被準確鑒別。可能的信號處理過程包括信道噪聲、濾波、數/模與模/數轉換、重采樣、剪切、位移、尺度變化以及有損壓縮編碼等。
3.3發展前景
(1)實現數字化作品產權信息保護。
計算機網絡的發達,讓數字作品(如電腦美術、掃描圖像、數字音樂、視頻、三維動畫)的版權保護成為當前的熱點問題。但是數字作品的拷貝、修改非常容易,而且可以做到與原作完全相同,“數字水印”利用數據隱藏原理使版權標志不可見或不可聽,既不損害原作品,又達到了版權保護的目的。目前,用于版權保護的數字水印技術已經進入了初步實用化階段,IBM公司在其“數字圖書館”軟件中就提供了數字水印功能,Adobe公司也在其著名的Photoshop軟件中集成了Digimarc公司的數字水印插件。
(2)商務票據信息安全保護。
隨著高質量圖像輸入輸出設備的發展,特別是精度超過1200dpi的彩色噴墨、激光打印機和高精度彩色復印機的出現,使得貨幣、支票以及其他票據的偽造變得更加容易。網絡安全技術成熟以后,各種電子票據也還需要一些非密碼的認證方式。數字水印技術可以為各種票據提供不可見的認證標志,從而大大增加了偽造的難度。
(3)重要聲像數據信息安全保護。
數據的標識信息往往比數據本身更具有保密價值,如遙感圖像的拍攝日期、經/緯度等。沒有標識信息的數據有時甚至無法使用,但直接將這些重要信息標記在原始文件上又很危險。數字水印技術提供了一種隱藏標識的方法,標識信息在原始文件上是看不到的,只有通過特殊的閱讀程序才可以讀取。這種方法已經被國外一些公開的遙感圖像數據庫所采用。
4結語
總之,以“數字水印”為代表的各種信息安全保護,將依賴人工智能的有效發展,只有在人工智能技術的不斷完善下,信息安全的保護才會越來越輕松,越來越容易,真正的“信息和諧社會”才會走進我們的身邊。
1VSAT衛星通信廣泛運用于消防救災、軍事等領域
目前,VSAT衛星通信廣泛應用于消防救災、軍事、新聞、保險、運輸、銀行、飯店、旅游等部門。VSAT衛星通信系統在我國各行各業的應用正在變得越來越廣泛。例如,當前消防滅火救援調度指揮工作中存在一些問題,消防調度指揮效率可以通過建設消防應急指揮VSAT衛星通信系統來提高。通過VSAT站,能夠非常方便地組成具有不同的規模、速率和用途的網絡系統,而且是靈活而經濟的。一般來說,一個VSAT網容納包括廣播式、點對點式、雙向交互式、收集式等應用形式的200-500個站。它不僅可以在發達國家中應用,而且對于技術不發達和經濟落后的國家也同樣適用,尤其對于那些地形復雜、不便架線和人煙稀少的邊遠地區也是非常適用的。在汶川地震后的救援中,進行了大量的VSAT移動通信,確保了常規通信設備失效情況下的應急救援現場與后方指揮中心的實時通信,為消防部隊大規模、跨區域協同作戰提供全天候的通信技術手段。
2VSAT衛星通信的特點和數據加密需求分析
本文結合筆者的實際工作,以消防應急指揮VSAT衛星通信系統為例,進行VSAT衛星數據安全分析。與地面網通信網相比,VSAT衛星通信網具有以下特點:
(1)具有非常大的覆蓋范圍,通信成本不受距離影響;
(2)能夠提供相同的業務種類和服務質量給所有地點,包括誤比特率和傳輸時延等;
(3)具有非常好的靈活性,能夠在一個網內使多種業務同時并存,對一個站來說,可以動態調整分配的頻帶、支持的業務種類和服務質量等級等;
(4)具有非常好的可擴容性,較低的擴容成本,很短的時間內就可以完成一個新通信地點的開辟;
(5)具有點對多點通信能力;
(6)具有非常好的獨立性,是用戶擁有的專用網,不像地面網那樣受到電信部門的制約;
(7)具有非常好的互操作性,采用不同標準的用戶可以跨越不同的地面網而在同一個VSAT網內進行通信;
(8)具有非常好的通信質量,誤比特率較低,網絡響應時間較短。
由于網內用戶發送的信息能夠被任何網外用戶收到,應由其它網內用戶接收的信息能夠被任何網內用戶收到,因此,在VSAT衛星通信中,必須解決信道加密問題。
3VSAT衛星數據安全通常采用的幾種方式
VSAT衛星數據安全通常采用加密、通行字、自組織能力等一些措施來提高安全等級。其中,加密是保證VSAT衛星數據安全最經常采用的方式。本文主要介紹加密方式。
3.1VSAT衛星數據安全中加密的使用
加密是一種對傳輸數據的訪問權的限制的技術。原始數據稱為明文(plaintext);而被硬件或軟件等加密設備和密鑰加密而產生的經過編碼的數據稱為密文(ciphertext)。解密就是將密文還原為原始明文的過程,它是反向處理加密的過程,但是在解密者對密文進行解密時,必須使用相同類型的加密設備和密鑰。在VSAT衛星數據安全通信中,是在發送數據的過程中進行數據加密的,經過加密之后,VSAT衛星通信數據就會成為不可識別的密文,經過進一步的處理之后,密文最終通過衛星通信鏈路發送出去。相應地,是在接收數據的過程中進行數據解密的,數據解密是數據加密的逆過程。在VSAT衛星通信數據傳輸的整個過程中,經過了加密保護的數據在衛星通信鏈路上傳送,只要數據加密功能足夠可靠,那么就保證了VSAT衛星通信的安全性。即使在衛星通信的過程中有人竊取了數據,也不可能從中獲取任何信息。
3.2VSAT衛星數據安全通信中基于對稱密鑰加密的安全控制策略
(1)對稱密鑰加密的定義
對稱密鑰加密也就是私鑰加密,它加密和解密數據是通過使用單個私鑰來進行的,同一個密鑰可以同時用來進行加密和解密。由于具有密鑰的任意一方都可以使用該密鑰解密數據,因此為了使密鑰不被未經授權的人獲取,必須對其采取保護措施。與公鑰算法相比,私鑰加密算法非常快,特別適用于執行較大的數據流的加密轉換。加密和解密是一個統一的整體,加密隱含著對應的解密。
(2)安全控制策略
在對稱密鑰加密的基礎上,在VSAT衛星數據安全通信中,可以從加密算法的選擇、密鑰長度的選擇、密鑰的分配方案這三個方面,采用下面的安全控制策略。
a.加密算法的選擇。
在VSAT衛星數據安全通信中,使用對稱密鑰算法進行安全控制模塊的數據加密和數據解密。常用的對稱密鑰算法包括數據加密標準(dataencryptionstandard,DES),三重高級加密標準DES,AES(advancedencryptionstandard,AES,又稱為Rijndael算法)等。三種算法DES,三重DES,AES的破解難度依次增大。例如,要對密鑰長度為128位的AES算法進行破解,如果使用一臺內含10億個每秒鐘可以計算1012個密鑰的并行處理器的機器,整個密鑰空間也需要1010年才能搜索完成密碼的破解。可以用硬件或者軟件實現加密算法,硬件的加密(解密)速度要比軟件快。在VSAT衛星數據安全通信中,考慮到基于衛星通信的數據傳輸速度,加密硬件沒必要另外購置,加密完全可以用軟件完成,而不會使系統的整體性能受到影響。
b.密鑰長度的選擇。
密鑰的長度越長,被破解的難度越大,但是加密速度也同時受到了影響。在VSAT衛星數據安全通信中,要傳輸的衛星通信數據的機密程度是選擇密鑰長度的關鍵因素。根據上面對AES的分析,128位的密鑰對于一般的測量數據來說是足夠的;而對于高度機密的測量數據,256位的密鑰長度更難于被破解。
c.密鑰的分配方案。
密鑰的分配方案有兩種,一種是統一型,也就是說,在VSAT衛星數據安全通信中,監控中心和所有的信息采集單元都統一使用唯一一個密鑰。另外一種是成對型,也就是說,每一對通信實體使用一個不同的密鑰,如果僅限于在監控中心和信息采集單元之間進行數據傳輸,那么,由一個監控中心和n個信息采集單元構成的衛星數據安全通信中至少需要n個密鑰;如果傳輸數據也需要在信息采集單元之間進行,則衛星數據安全通信中至少需要n(n+1)/2個密鑰。可以看出,相比較而言,更為簡單易用的是統一型密鑰分配方案,這種方案方便了密鑰管理。但是,由于所有通信實體使用一個密鑰,如果泄露了或者破解了密鑰,那么,就會造成所有的數據處于泄密的危險狀態。與統一型密鑰分配方案相反,成對型密鑰分配方案的優點是安全系數較高,但是,同時也具有管理起來比較麻煩的缺點。
4結束語
隨著社會經濟的快速發展以及VSAT衛星通信系統的廣泛應用,全國消防部門滅火救援工作也變得更加順利。VSAT衛星通信系統將是未來電信系統的重要組成部分,它正在從單一窄帶業務的衛星電信網,發展成為一個將電信、廣播、計算機融合起來的寬帶衛星網絡。希望本文能夠拋磚引玉,引起國內外更多專家學者對于VSAT衛星通信安全分析的關注,這一領域仍然需要進一步的研究。
